Identitätstypen von Personen
Um die verschiedenen Identitäten einer Person zu differenzieren, nutzen Sie die folgenden Identitätstypen.
Tabelle 38: Identitätstypen
|
Primäre Identität |
Standardidentität für eine Person. Die Person besitzt ein Standardbenutzerkonto. |
|
Organisatorische Identität |
Virtuelle Person (Subidentität), zur Abbildung unterschiedlicher Rollen einer Person in der Organisation. Die Subidentität besitzt ein Benutzerkonto vom Typ Organisatorische Identität.
Erfassen Sie zusätzlich eine Hauptidentität. |
|
Persönliche Administratoridentität |
Virtuelle Person (Subidentität), die ein Benutzerkonto vom Typ Persönliche Administratoridentität besitzt.
Erfassen Sie zusätzlich eine Hauptidentität. |
|
Zusatzidentität |
Dummy-Person, die mit einem Benutzerkonto vom Typ Zusatzidentität verbunden ist.
Weisen Sie der Person einen Manager zu. |
|
Gruppenidentität |
Dummy-Person, die mit einem administrativen Benutzerkonto vom Typ Gruppenidentität verbunden ist.
Weisen Sie der Person einen Manager zu. |
|
Dienstidentität |
Dummy-Person, die mit einem Benutzerkonto vom Typ Dienstidentität verbunden ist.
Weisen Sie der Person einen Manager zu. |
|
Maschinenidentität |
Dummy-Person zur Abbildung von Maschinenidentitäten. |
Die primäre Identität, die organisatorische Identität und die persönliche Administratoridentität sind verschiedene Identitäten, unter denen ein und dieselbe Person ihre unterschiedlichen Aufgaben im Unternehmen ausführen kann.
Personen mit einer persönlichen Administratoridentität oder einer organisatorische Identität richten Sie als Subidentitäten ein. Diese Subidentitäten verbinden Sie mit den Benutzerkonten. Somit können für die unterschiedlichen Benutzerkonten die erforderlichen Berechtigungen erteilt werden.
Die Zusatzidentität, die Gruppenidentität und die Dienstidentität stellen Dummy-Personen dar, über welche die verbundenen Benutzerkonten mit den Berechtigungen in den jeweiligen Zielsystemen versorgt werden. Durch die Einordnung der Dummy-Personen in hierarchische Rollen oder als Kunden im IT Shop können Berechtigungen an die Benutzerkonten zugewiesen werden. Bestellungen im IT Shop kann nur der Manager dieser Dummy-Personen auslösen. Bei der Auswertung von Berichten, Attestierungen oder Complianceprüfungen prüfen Sie, ob Dummy-Personen gesondert betrachtet werden müssen.
Verwandte Themen
Deaktivieren und Löschen von Personen
Der Umgang mit Personen, vor allem beim dauerhaften oder zeitweisen Ausscheiden einer Person aus dem Unternehmen, wird in den einzelnen Unternehmen unterschiedlich gehandhabt. Es gibt Unternehmen, die Personen nie löschen, sondern nur deaktivieren, wenn sie das Unternehmen verlassen.
Folgende Verfahren sind in der Standardinstallation des One Identity Manager verfügbar:
Zeitweilige Deaktivierung einer Person
Die Person ist momentan nicht im Unternehmen, mit der Rückkehr wird zu einem definierten Termin gerechnet. Das gewünschte Verhalten kann sein, dass die Benutzerkonten gesperrt werden und alle Gruppenmitgliedschaften entzogen werden. Oder es sollen die Benutzerkonten gelöscht, bei Wiedereintritt jedoch wieder hergestellt werden, wenn auch mit einer neuen System Identifikationsnummer (SID).
Die zeitweilige Deaktivierung einer Person wird ausgelöst durch:
- die Option Zeitweilig deaktiviert
- das Start- und Enddatum der Deaktivierung (Zeitweilig deaktiviert ab und Zeitweilig deaktiviert bis)
HINWEIS:
- Konfigurieren Sie im Designer den Zeitplan Benutzerkonten ausgeschiedener Personen sperren. Dieser Zeitplan prüft das Startdatum der Deaktivierung und setzt bei Erreichen des Startdatums die Option Zeitweilig deaktiviert.
- Konfigurieren Sie im Designer den Zeitplan Zeitweise deaktivierte Benutzerkonten aktivieren. Dieser Zeitplan überwacht das Enddatum der Deaktivierung und aktiviert bei Ablauf des Datums die Person und ihre Benutzerkonten wieder. Benutzerkonten einer Person, die bereits vor einer zeitweiligen Deaktivierung der Person deaktiviert waren, werden nach Ablauf des Zeitraumes ebenfalls wieder aktiviert.
Verwandte Themen
Dauerhafte Deaktivierung einer Person
Personen können dauerhaft deaktiviert werden, beispielsweise wenn sie aus dem Unternehmen ausscheiden. Dabei kann es erforderlich sein, dass diesen Personen ihre Berechtigungen in den angeschlossenen Zielsystem und ihre Unternehmensressourcen entzogen werden.
Die Auswirkungen der dauerhaften Deaktivierung einer Person sind:
- Die Person kann nicht als Manager an Personen zugewiesen werden.
- Die Person kann nicht als Verantwortlicher an Rollen zugewiesen werden.
- Die Person kann nicht als Eigentümer an Attestierungsrichtlinien zugewiesen werden.
- Es erfolgt keine Vererbung von Unternehmensressourcen über Rollen, wenn zusätzlich die Option Keine Vererbung an der Person aktiviert ist.
- Benutzerkonten der Person werden gesperrt oder gelöscht und den Benutzerkonten werden die Gruppenmitgliedschaften entzogen.
Die dauerhafte Deaktivierung einer Person wird ausgelöst über:
- die Aufgabe Person dauerhaft deaktivieren
Die Aufgabe sorgt dafür, dass die Option Dauerhaft deaktiviert aktiviert wird und das Austrittsdatum und das Datum des letzten Arbeitstages auf den aktuellen Tag gesetzt werden.
- das Erreichen des Austrittsdatums
HINWEIS: Prüfen Sie im Designer den Zeitplan Benutzerkonten ausgeschiedener Personen sperren. Dieser Zeitplan prüft das Austrittsdatum und setzt bei Erreichen des Austrittsdatums die Option Dauerhaft deaktiviert.
HINWEIS: Die Aufgabe Person erneut aktivieren sorgt dafür, dass die Person wieder aktiviert wird.
- den Zertifizierungsstatus Abgelehnt
Wenn der Zertifizierungsstatus einer Person durch Attestierung oder manuell auf Abgelehnt gesetzt wird, wird die Person sofort dauerhaft deaktiviert. Wird der Zertifizierungsstatus auf Zertifiziert geändert, wird die Person wieder aktiviert.
HINWEIS: Diese Funktion steht zur Verfügung, wenn das Modul Attestierung vorhanden ist.
Verwandte Themen
