Der One Identity Manager unterstützt die Umsetzung von Identity und Access Governance Anforderungen in IT-Umgebungen, die häufig eine Mischung aus traditionellen, intern gehosteten Applikationen und modernen Cloud-Anwendungen darstellen. Benutzer und Berechtigungen aus Cloud-Anwendungen können im One Identity Manager abgebildet werden. Damit ist es möglich, die Identity und Access Governance Prozesse wie Attestierung, Identity Audit, Management von Benutzern und Systemberechtigungen, IT Shop oder Berichtsabonnements auch für Cloud-Anwendungen zu nutzen.
Datenschutzrichtlinien, wie die Datenschutz-Grundverordnung, erfordern eine Abstimmung, welche Daten eines Mitarbeiters in Cloud-Anwendungen gespeichert werden dürfen. Bei entsprechender Konfiguration der Systemumgebung gewährleistet der One Identity Manager, dass Cloud-Anwendungen und deren verantwortliche Administratoren keinerlei Zugriff auf die Personenstammdaten sowie die Identity und Access Governance Prozesse erhalten. Aus diesem Grund werden Cloud-Anwendungen in zwei getrennten Modulen verwaltet, die bei Bedarf in getrennten Datenbanken installiert sein können.
Das Modul Universal Cloud Interface bildet die Schnittstelle, über die Benutzer und Berechtigungen aus Cloud-Anwendungen in eine One Identity Manager-Datenbank übertragen werden können. Hier wird die Synchronisation mit den Cloud-Anwendungen konfiguriert und ausgeführt. Jede Cloud-Anwendung wird als eigenes Basisobjekt im One Identity Manager abgebildet. Die Benutzerdaten werden als Benutzerkonten, Gruppen, Systemberechtigungen und Berechtigungselemente gespeichert und können in Containern organisiert werden. Sie können im One Identity Manager nicht bearbeitet werden. Eine Verbindung zu Identitäten (Personen) wird hier nicht hergestellt.
Im Modul Cloud Systems Management wird die Verbindung zu Identitäten hergestellt; Benutzerkonten, Gruppen, Systemberechtigungen und Berechtigungselemente können erstellt und bearbeitet werden. Damit können die Identity und Access Governance Prozesse zur Verwaltung der Cloud-Benutzerkonten und ihren Berechtigungen genutzt werden. Per Synchronisation werden die Daten zwischen den Modulen Universal Cloud Interface und Cloud Systems Management ausgetauscht. Provisionierungsprozesse sorgen dafür, dass Änderungen an den Objekten aus dem Modul Cloud Systems Management in das Modul Universal Cloud Interface übertragen werden.
Für manche Cloud-Anwendungen kann (aus technischen Gründen) oder soll (aufgrund der zu geringen Änderungsmenge) keine automatisierte Schnittstelle zum Provisionieren von Änderungen aus dem Modul Universal Cloud Interface in die Cloud-Anwendung eingesetzt werden. In diesem Fall können die Änderungen manuell provisioniert werden.
Da im Modul Universal Cloud Interface nur die Daten gespeichert werden, die in den Cloud-Anwendungen verfügbar sein müssen, kann dieses Modul in einer separaten Datenbank installiert werden. Diese Datenbank kann sich auch außerhalb der Unternehmensinfrastruktur befinden.
In Verbindung mit der Cloud-Lösung One Identity Starling Connect entsteht eine einfache und umfassende Lösung zur Integration von Cloud-Anwendungen und zur Abbildung der Anforderungen an hybride Lösungsszenarien.
Für die Synchronisation mit Cloud-Anwendungen im Modul Universal Cloud Interface wird ein Synchronisationsserver benötigt, auf dem der Universal Cloud Interface Konnektor installiert ist. Das Modul Universal Cloud Interface kann in der selben One Identity Manager-Datenbank vorhanden sein, in der auch das Modul Cloud Systems Management installiert ist. Die Synchronisation kann aber auch mit einer anderen One Identity Manager-Datenbank eingerichtet werden, die auf einem externen Datenbankserver bereitgestellt wird.
Abbildung 1: Architektur für die Synchronisation
Ausführliche Informationen über die Kommunikation zwischen dem Universal Cloud Interface und den Cloud-Anwendungen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung von Cloud-Anwendungen.
In die Einrichtung und Verwaltung von Cloud Zielsystemen sind folgende Benutzer eingebunden.
Tabelle 1: Benutzer
Zielsystemadministratoren |
Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.
-
Legen die Zielsystemverantwortlichen fest.
-
Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.
-
Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.
-
Berechtigen weitere Personen als Zielsystemadministratoren.
-
Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme. |
Zielsystemverantwortliche |
Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Cloud Zielsysteme oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Übernehmen die administrativen Aufgaben für das Zielsystem.
-
Erzeugen, ändern oder löschen die Zielsystemobjekte.
-
Bearbeiten Kennwortrichtlinien für das Zielsystem.
-
Bereiten Gruppen und Systemberechtigungen zur Aufnahme in den IT Shop vor.
-
Können Personen anlegen, die eine andere Identität haben als den Identitätstyp Primäre Identität.
-
Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.
-
Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.
-
Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen. |
One Identity Manager Administratoren |
Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.
Administratoren:
-
Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne. |
Administratoren für den IT Shop |
Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Administratoren für Organisationen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Weisen Gruppen an Abteilungen, Kostenstellen und Standorte zu.
-
Weisen Systemberechtigungen an Abteilungen, Kostenstellen und Standorte zu. |
Administratoren für Geschäftsrollen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Per Synchronisation werden die Daten zwischen den Modulen Universal Cloud Interface und Cloud Systems Management ausgetauscht. Damit die Identity und Data Governance Prozesse auf die Objekte aus einer Cloud-Anwendung angewendet werden können, muss die Synchronisation zwischen beiden Modulen eingerichtet werden.
HINWEIS: Im Folgenden ist häufig von Zielsystem und (One Identity Manager) Datenbank die Rede. Dabei meint Zielsystem immer eine Cloud-Anwendung im Universal Cloud Interface. One Identity Manager-Datenbank oder Datenbank bezieht sich immer auf die Objekte im Modul Cloud Systems Management.
Tabelle 2: Begriffe
Verbundenes System |
Modul Cloud Systems Management |
Modul Universal Cloud Interface |
Basisobjekt |
Cloud Zielsystem |
Cloud-Anwendung |
Wie die Schematypen der verbundenen Systeme aufeinander abgebildet werden, ist im Mapping festgelegt. Weitere Informationen finden Sie unter Standardprojektvorlage für Cloud-Anwendungen im Universal Cloud Interface.
Informieren Sie sich hier:
-
wie Sie die Synchronisation zwischen den Modulen Universal Cloud Interface und Cloud Systems Management einrichten,
-
wie Sie eine Synchronisationskonfiguration anpassen, beispielsweise um verschiedene Zielsysteme mit ein und demselben Synchronisationsprojekt zu synchronisieren,
-
wie Sie die Synchronisation starten und deaktivieren,
-
wie Sie die Synchronisationsergebnisse auswerten.
TIPP: Bevor Sie die Synchronisation einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Detaillierte Informationen zum Thema