Chat now with support
Chat with Support

Identity Manager 8.1.4 - Administrationshandbuch für Active Roles Integration

Active Roles spezifische Erweiterungen für Active Directory Gruppen

Um die aus dem Active Roles ermittelten Stammdaten einer Active Directory Gruppe anzuzeigen

  1. Wählen Sie im Manager die Kategorie Active Directory | Gruppen.
  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Wählen Sie den Tabreiter Active Roles.

Die folgenden Eigenschaften werden abgebildet.

Tabelle 8: Active Roles-spezifische Eigenschaften einer Active Directory Gruppe
Eigenschaft Beschreibung

Gruppe ist im Self-Service Manager veröffentlicht

Wenn eine Active Directory Gruppe veröffentlicht ist, kann diese Active Directory Gruppe nach der Synchronisation sofort das Web Portal bestellt werden. Die Angabe wird bei der Synchronisation aus dem Active Roles gelesen. Bei Anlage einer Active Directory Gruppe über das Web Portal wird diese Angabe publiziert, um bei Bedarf weitere Arbeitsabläufe in Active Roles zu starten.

Entscheidung durch die Besitzer der Gruppe

Angabe, ob die Entscheidung über die Gruppenmitgliedschaft durch den Besitzer (Kontomanager) der Active Directory Gruppe erfolgen muss. Die Angabe hat Auswirkung auf den Ablauf des Genehmigungsverfahrens im IT Shop.

Entscheidung durch einen zusätzlichen Besitzer der Gruppe

Angabe, ob die Entscheidung über die Gruppenmitgliedschaft durch die zusätzlichen Besitzer der Active Directory Gruppe erfolgen muss. Die Angabe hat Auswirkung auf den Ablauf des Genehmigungsverfahrens im IT Shop.

Zusätzliche Besitzer

Liste zusätzlicher Besitzer. Zulässig sind Active Directory Gruppen oder Active Directory Benutzerkonten.

Deprovisionierungsstatus

Status der Deprovisionierungsabläufe durch Active Roles beim Löschen des Objektes. Die Angabe wird bei der Synchronisation aus dem Active Roles gelesen.

Status Beschreibung

Keine Deprovisionierung

Das Active Directory Objekt ist aktiv.

Deprovisionierung erfolgreich

Das Active Directory Objekt wurde erfolgreich deprovisioniert.

Deprovisionierung fehlerhaft

Bei der Deprovisionierung des Active Directory Objektes ist ein Fehler aufgetreten.

Deprovisionierungsdatum

Datum der Deprovisionierungsabläufe durch Active Roles beim Löschen des Objektes. Die Angabe wird bei der Synchronisation aus Active Roles gelesen.

Verwandte Themen

Deprovisionieren von Active Directory Benutzerkonten und Active Directory Gruppen

Der One Identity Manager unterstützt die Deprovisionierung über Active Roles. Anhand konfigurierter Deprovisionierungsrichtlinien im Active Roles wird ein Active Directory Objekt dabei so modifiziert, dass es temporär oder dauerhaft deaktiviert ist und gegebenenfalls erst nach dem Ablauf eines bestimmten Zeitraumes endgültig gelöscht wird. Detaillierte Informationen zur Active Roles Deprovisionierung entnehmen Sie Ihrer One Identity Active Roles Dokumentation.

HINWEIS: Die Konfiguration der Deprovisionierungsrichtlinien im Active Roles kann im Widerspruch zur Standardkonfiguration One Identity Manager stehen. Nehmen Sie in diesem Fall entsprechende kundenspezifische Anpassungen, beispielsweise an Bildungsregeln oder Prozessen, vor.

Zur Deprovisionierung der Active Directory Benutzerkonten und Active Directory Gruppen über den One Identity Manager werden folgenden Verfahren eingesetzt:

  • Deprovisionieren statt Löschen
  • Direktes Deprovisionieren
Detaillierte Informationen zum Thema

Deprovisionieren statt Löschen

Um dieses Verfahren einzusetzen

  • Aktivieren Sie für die Active Directory Domäne die Optionen Löschen von Benutzerkonten durch Active Roles Arbeitsabläufe und Löschen von Gruppen durch Active Roles Arbeitsabläufe.

Beim Löschen eines Active Directory Benutzerkonten oder einer Active Directory Gruppe im One Identity Manager wird anstelle der Standardprozesse zum Löschen ein Prozess zur Deprovisionierung im Active Roles erzeugt. Der Prozess stellt das Active Directory Objekt zur Deprovisionierung im Active Roles ein, setzt den Deprovisionierungsstatus und prüft den Deprovisionierungsverlauf. Abhängig davon erfolgt die Weiterbehandlung der Active Directory Objekte im One Identity Manager.

  • Wurde das Active Directory Objekt im Active Roles sofort gelöscht, wird das Active Directory Objekt auch im One Identity Manager gelöscht.
  • Wurde das Active Directory Objekt im Active Roles umbenannt oder in einen anderen Active Directory Container verschoben, dann erfolgt dies auch im One Identity Manager.

    Das Active Directory Objekt verbleibt in der One Identity Manager-Datenbank zunächst im Status „gelöscht“.

Um ein Benutzerkonto zu löschen

  1. Wählen Sie die Kategorie Active Directory | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Löschen Sie das Benutzerkonto.
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Um eine Active Directory Gruppe zu löschen

  1. Wählen Sie die Kategorie Active Directory | Gruppen.
  2. Wählen Sie in der Ergebnisliste die Gruppe.
  3. Löschen Sie die Gruppe über die Schaltfläche .
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
Verwandte Themen

Direkte Deprovisionierung

Dieses Verfahren können Sie einsetzen, wenn die Active Directory Domäne nicht für die Deprovisionierung gekennzeichnet ist. Um einzelne Active Directory Benutzerkonten oder Active Directory Gruppen zu deprovisionieren, wird an diesen Objekten die Aufgabe Deprovisionieren angeboten.

Es wird ein Prozess zur Deprovisionierung im Active Roles erzeugt. Der Prozess stellt das Active Directory Objekt zur Deprovisionierung im Active Roles ein, setzt den Deprovisionierungsstatus und prüft den Deprovisionierungsverlauf. Abhängig davon erfolgt die Weiterbehandlung der Active Directory Objekte im One Identity Manager.

  • Wurde das Active Directory Objekt im Active Roles sofort gelöscht, wird das Active Directory Objekt auch im One Identity Manager gelöscht.
  • Wurde das Active Directory Objekt im Active Roles umbenannt oder in einen anderen Active Directory Container verschoben, dann erfolgt dies auch im One Identity Manager.

    Das Active Directory Objekt verbleibt in der One Identity Manager-Datenbank zunächst im Status "geändert". Durch die nächste Synchronisation werden alle Eigenschaften des Active Directory Objektes in die One Identity Manager-Datenbank eingelesen und der Status auf "publiziert" gesetzt.

Um ein Active Directory Benutzerkonto zu deprovisionieren

  1. Wählen Sie die Kategorie Active Directory | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Wählen Sie die Aufgabe Deprovisionieren.
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  5. Bestätigen Sie mit OK.

Um eine Active Directory Gruppe zu deprovisionieren

  1. Wählen Sie die Kategorie Active Directory | Gruppen.
  2. Wählen Sie in der Ergebnisliste die Gruppe.
  3. Wählen Sie die Aufgabe Deprovisionieren.
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  5. Bestätigen Sie mit OK.
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating