Chat now with support
Chat with Support

Identity Manager 8.1.4 - Administrationshandbuch für das Identity Management Basismodul

Grundlagen zur Abbildung von Unternehmensstrukturen im One Identity Manager Abteilungen, Kostenstellen und Standorte verwalten Arbeiten mit dynamischen Rollen Personen verwalten
One Identity Manager Benutzer für die Personenverwaltung Basisdaten für Personenstammdaten Erfassen der Personenstammdaten Zentrales Benutzerkonto einer Person Zentrales Kennwort einer Person Standard-E-Mail-Adresse einer Person Abbildung mehrerer Identitäten einer Person Deaktivieren und Löschen von Personen Kennwortrichtlinien für Personen Eingeschränkter Zugang zum One Identity Manager Unternehmensressourcen an Personen zuweisen Herkunft von Rollen und Berechtigungen einer Person anzeigen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen Zusätzliche Aufgaben für die Verwaltung von Personen Ermitteln der Sprache einer Person Ermitteln der Arbeitszeit einer Person Berichte über Personen
Geräte und Arbeitsplätze verwalten Ressourcen verwalten Zusatzeigenschaften einrichten Konfigurationsparameter für die Verwaltung von Abteilungen, Kostenstellen und Standorten Konfigurationsparameter für die Verwaltung von Personen Anhang: Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen

Zentrales Benutzerkonto einer Person

Tabelle 35: Konfigurationsparameter für die Bildung der zentralen Benutzerkonten
Konfigurationsparameter Bedeutung

QER | Person | CentralAccountGlobalUnique

Der Konfigurationsparameter legt fest, wie das zentrale Benutzerkonto abgebildet wird.

Ist der Konfigurationsparameter aktiviert, erfolgt die Bildung des zentralen Benutzerkonto einer Person eindeutig bezogen auf die zentralen Benutzerkonten aller Personen und die Benutzerkontennamen aller erlaubten Zielsystemen.

Ist der Konfigurationsparameter nicht aktiviert, erfolgt die Bildung nur eindeutig bezogen auf die zentralen Benutzerkonten aller Personen.

Das zentrale Benutzerkonto einer Person wird zur Bildung des Anmeldenamens der Benutzerkonten in den aktivierten Zielsystemen herangezogen. Das zentrale Benutzerkonto wird weiterhin bei der Anmeldung an den Werkzeugen des One Identity Manager genutzt. In der Standardinstallation des One Identity Manager wird das zentrale Benutzerkonto aus dem Vornamen und dem Nachnamen der Person gebildet. Ist nur eine dieser Eigenschaften bekannt, wird diese zur Bildung des zentralen Benutzerkontos genutzt. Der One Identity Manager prüft in jedem Fall, ob es bereits ein zentrales Benutzerkonto mit dem ermittelten Wert gibt. Ist dies der Fall, wird eine fortlaufende Nummerierung, beginnend mit 1, an den ursprünglichen Wert angehängt.

Tabelle 36: Beispiel für die Bildung des zentralen Benutzerkontos
Vorname Nachname Zentrales Benutzerkonto
Clara   CLARA
  Harris HARRIS
Clara Harris CLARAH
Clara Harrison CLARAH1

Zentrales Kennwort einer Person

Das zentrale Kennwort einer Person kann für die Anmeldung an den Zielsystemen und für die Anmeldung am One Identity Manager verwendet werden. Abhängig von der Konfiguration wird dazu das zentrale Kennwort einer Person an ihre Benutzerkonten und auf ihr Systembenutzerkennwort publiziert.

  • Um die Änderung des zentralen Kennwortes einer Person in alle bestehenden Benutzerkonten der Person zu publizieren, prüfen Sie im Designer, ob der Konfigurationsparameter QER | Person | UseCentralPassword aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter.

  • Um das zentrale Kennwort einer Person ebenfalls für neue Benutzerkonten der Person zu nutzen, aktivieren Sie im Designer den Konfigurationsparameter QER | Person | UseCentralPassword | PermanentStore.

    Ist der Konfigurationsparameter aktiviert, wird das zentrale Kennwort in der One Identity Manager-Datenbank gespeichert und wird für neue Benutzerkonten genutzt. Ist der Konfigurationsparameter deaktiviert, wird das zentrale Kennwort nach dem Publizieren an die bestehenden Benutzerkonten aus der One Identity Manager-Datenbank gelöscht werden. Das zentrale Kennwort steht für weitere Benutzerkonten nicht zur Verfügung.

  • Um das zentrale Kennwort einer Person auf ihr Systembenutzerkennwort zur Anmeldung zu übernehmen, prüfen Sie im Designer, ob der Konfigurationsparameter QER | Person | UseCentralPassword | SyncToSystemPassword aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter.

  • Soll ein gesperrtes Systembenutzerkonto einer Person bei der Eingabe des zentralen Kennwortes entsperrt werden, prüfen Sie im Designer, ob der Konfigurationsparameter QER | Person | UseCentralPassword | SyncToSystemPassword | UnlockByCentralPassword aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter.

HINWEIS:

  • Auf das zentrale Kennwort einer Person wird die Kennwortrichtlinie Kennwortrichtlinie für zentrales Kennwort von Personen angewendet. Stellen Sie sicher, dass die Kennwortrichtlinie nicht gegen die zielsystemspezifischen Kennwortrichtlinien verstößt.

  • Über den Konfigurationsparameter QER | Person | UseCentralPassword | CheckAllPolicies kann festgelegt werden, ob das zentrale Kennwort einer Person gegen alle Kennwortrichtlinien der Zielsysteme geprüft werden soll, in denen die Person Benutzerkonten besitzt. Die Prüfung erfolgt nur im Kennwortrücksetzungsportal.

  • Das zentrale Kennwort einer Person wird nicht auf privilegierte Benutzerkonten der Person publiziert.

  • Kann ein Kennwortes aufgrund eines Fehlers nicht geändert werden, erhält die Person eine entsprechenden E-Mail Benachrichtigung.

  • Um das zentrale Kennwort einer Person in eine Kennwortspalte einer kundenspezifischen Benutzerkontentabelle zu publizieren, definieren Sie im Designer ein ViewAddOn für die Sicht QERVPersonCentralPwdColumn. Die Datenbanksicht liefert die Kennwortspalte der Benutzerkontentabellen. Die Benutzerkontentabelle muss einen Verweis auf die Person haben (UID_Person) sowie eine Spalte XMarkedForDeletion. Ausführliche Informationen zum Anpassen des One Identity Manager Schemas finden Sie im One Identity Manager Konfigurationshandbuch.

  • Sollen weitere kundenspezifische Besonderheiten abgebildet werden, überschreiben Sie das Skript QER_Publish_CentralPassword. Ausführliche Informationen zum Bearbeiten von Skripten finden Sie im One Identity Manager Konfigurationshandbuch.

  • Das zentrale Kennwort kann über das Kennwortrücksetzungsportal gesetzt werden. Ausführliche Informationen finden Sie im One Identity Manager Anwenderhandbuch für das Web Portal und im One Identity Manager Konfigurationshandbuch für Webanwendungen.

Verwandte Themen

Standard-E-Mail-Adresse einer Person

Die Standard-E-Mail-Adresse der Person wird auf die Postfächer in den aktivierten Zielsystemen abgebildet. In der Standardinstallation des One Identity Manager wird die Standard-E-Mail-Adresse aus dem zentralen Benutzerkonto der Person und der Standardmaildomäne der aktivierten Zielsysteme gebildet.

Die Standardmaildomäne wird aus dem Konfigurationsparameter QER | Person | DefaultMailDomain ermittelt.

  • Aktivieren Sie im Designer den Konfigurationsparameter und tragen Sie die Bezeichnung der Standardmaildomäne als Wert ein.
Verwandte Themen

Abbildung mehrerer Identitäten einer Person

Tabelle 37: Konfigurationsparameter für die Abbildung mehrerer Identitäten

Konfigurationsparameter

Wirkung bei Aktivierung

Person | MasterIdentity | UseMasterForAuthentication

Der Konfigurationsparameter legt fest, ob zur Anmeldung an One Identity Manager-Werkzeugen über Personen-basierte Authentifizierungsmodule die Hauptidentität genutzt werden soll.

Ist der Parameter aktiviert, wird die Hauptidentität für personengebundene Authentifizierungen genutzt. Ist der Parameter deaktiviert, wird die Subidentität für personengebundene Authentifizierungen genutzt.

Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen und zum Bearbeiten von Systembenutzern finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

In großen Unternehmen hat eine Person unter Umständen für ihre Arbeit unterschiedliche Identitäten, die beispielsweise aus unterschiedlichen Verträgen für unterschiedliche Tochterunternehmen resultieren. Diese Identitäten können sich beispielsweise in der Abteilungs- oder Kostenstellenzugehörigkeit oder in den Zugriffsberechtigungen unterscheiden. Ebenso können externe Mitarbeiter an unterschiedlichen Standorten eingesetzt werden und mit verschiedenen Identitäten im System abgebildet sein. Um die einzelnen Identitäten einer Person abzubilden und an einer zentralen Stelle zusammenzuführen, können Sie im One Identity Manager Hauptidentitäten und Subidentitäten für eine Person definieren.

In Zielsystemen werden unterschiedliche Typen von Benutzerkonten bereitgestellt, um die Personen mit unterschiedlichen Berechtigungen zu versorgen. Eine Person kann mit unterschiedlichen Identitäten mehrere Benutzerkonten mit unterschiedlichen Typen nutzen. Um die Zuweisung von Berechtigungen in den Zielsystemen besser steuern zu können, werden die Subidentitäten der Personen in verschiedene Identitätstypen unterteilt. Diese Einteilung entspricht den Benutzerkontentypen.

Hauptidentität

  • Eine Hauptidentität repräsentiert eine wirkliche Person.

  • Einer Hauptidentität können im One Identity Manager Benutzerkonten und Berechtigungen zugewiesen werden und sie kann innerhalb des IT Shops Bestellungen auslösen.

  • Für eine Hauptidentität werden im One Identity Manager Personenstammdaten abgebildet.

  • Eine Hauptidentität kann mehrere Subidentitäten besitzen.

Subidentität

  • Eine Subidentität ist eine virtuelle Person.

  • Einer Subidentität können im One Identity Manager Benutzerkonten und Berechtigungen zugewiesen werden und sie kann innerhalb des IT Shops Bestellungen auslösen.

  • Eine Subidentität ist immer einer Hauptidentität zugeordnet.

  • Für eine Subidentität werden im One Identity Manager die Personenstammdaten abgebildet. Diese können über entsprechend definierte Bildungsregeln aus den Personenstammdaten der Hauptidentität übernommen werden.

  • Für eine Subidentität geben Sie auf dem Stammdatenformular der Person über die Auswahlliste Hauptidentität die Hauptidentität an.

TIPP: Wenn eine Person mit mehreren Identitäten arbeitet, aber bisher nur eine Identität davon im One Identity Manager bekannt war, dann sollten Sie

  • eine Hauptidentität für die Person erstellen

  • die bisher bekannte Identität als Subidentität zuordnen

  • für die weiteren Identitäten neue Subidentitäten erstellen

Auf diese Weise ist beispielsweise innerhalb eines Identity Audits die Überprüfung der zulässigen Berechtigungen der Person pro Subidentität oder für die Hauptidentität, unter Einbeziehung aller Subidentitäten, möglich.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating