Chat now with support
Chat with Support

Identity Manager 8.2 - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von PAM Benutzerkonten und Personen Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM Objekten im One Identity Manager PAM Zugriffsanforderungen Behandeln von PAM Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Über dieses Handbuch

Das One Identity Manager Administrationshandbuch für die Privileged Account Governance beschreibt, wie Sie die Synchronisation von One Identity Safeguard mit dem One Identity Manager einrichten. Sie erfahren, wie im One Identity Manager die Benutzerkonten, Benutzergruppen, Assets, Assetgruppen, Konten, Kontogruppen, Verzeichnisse, Nutzungsrechte und Zugriffsanforderungsrichtlinien eines Privileged Account Management Systems verwaltet werden.

Dieses Handbuch wurde als Nachschlagewerk für End-Anwender, Systemadministratoren, Berater, Analysten und andere IT-Fachleute entwickelt.

HINWEIS: Dieses Handbuch beschreibt die Funktionen des One Identity Manager, die für den Standardbenutzer verfügbar sind. Abhängig von der Systemkonfiguration und den Berechtigungen stehen Ihnen eventuell nicht alle Funktionen zur Verfügung.

Verfügbare Dokumentation

Die One Identity Manager Dokumentation erreichen Sie im Manager und im Designer über das Menü Hilfe > Suchen. Die Online Version der One Identity Manager Dokumentation finden Sie im Support-Portal unter Online-Dokumentation. Videos mit zusätzlichen Informationen finden Sie unter www.YouTube.com/OneIdentity.

Verwalten eines Privileged Account Management Systems im One Identity Manager

Der One Identity Manager bietet eine vereinfachte Administration der Benutzerkonten eines Privileged Account Management Systems. Dabei konzentriert sich der One Identity Manager auf die Einrichtung und Bearbeitung von Benutzerkonten und die Zuweisung der Benutzerkonten zu Benutzergruppen. Über die Benutzergruppen erhalten Benutzerkonten die Nutzungsrechte, um beispielsweise ein Kennwort für einen Assetkonto oder eine Sitzung für die Konten und Assets im Privileged Account Management System anfordern zu können. Die Zuweisung der Nutzungsrechte an die Benutzergruppen erfolgt nicht im One Identity Manager, sondern im Privileged Account Management System. Über das Web Portal können Benutzergruppen und Anforderungen für Kennwörter und Sitzungen bestellt werden.

Im One Identity Manager werden die Personen eines Unternehmens mit den benötigten Benutzerkonten versorgt. Dabei können Sie unterschiedliche Mechanismen für die Verbindung der Personen mit ihren Benutzerkonten nutzen. Ebenso können Sie die Benutzerkonten getrennt von Personen verwalten und somit administrative Benutzerkonten einrichten.

Im One Identity Manager werden die Benutzerkonten, Benutzergruppen, Assets, Assetgruppen, Konten, Kontogruppen, Verzeichnisse, Nutzungsrechte und Zugriffsanforderungsrichtlinien eines Privileged Account Management Systems abgebildet. Diese Objekte werden durch die Synchronisation in die One Identity Manager-Datenbank eingelesen. Damit ist es möglich, die Identity und Access Governance Prozesse wie Attestierung, Identity Audit, Management von Benutzerkonten und Systemberechtigungen, IT Shop oder Berichtsabonnements für Privileged Account Management Systeme zu nutzen.

HINWEIS: Voraussetzung für die Verwaltung eines Privileged Account Management Systems im One Identity Manager ist die Installation des Privileged Account Governance Moduls. Ausführliche Informationen zur Installation finden Sie im One Identity Manager Installationshandbuch.

Architekturüberblick

Um auf die Daten eines Privileged Account Management Systems zuzugreifen, wird auf einem Synchronisationsserver ein Konnektor für das Privileged Account Management System installiert. Der Synchronisationsserver sorgt für den Abgleich der Daten zwischen der One Identity Manager-Datenbank und dem Privileged Account Management System.

Der One Identity Manager unterstützt die Synchronisation mit One Identity Safeguard. Der One Identity Safeguard Konnektor des One Identity Manager verwendet Windows PowerShell für die Kommunikation mit der One Identity Safeguard Appliance.

One Identity Manager Benutzer für die Verwaltung eines Privileged Account Management Systems

In die Einrichtung und Verwaltung eines Privileged Account Management Systems sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer

Benutzer

Aufgaben

Zielsystemadministratoren

Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.

  • Legen die Zielsystemverantwortlichen fest.

  • Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.

  • Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.

  • Berechtigen weitere Personen als Zielsystemadministratoren.

  • Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme.

Zielsystemverantwortliche

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Privileged Account Management oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das Zielsystem.

  • Erzeugen, ändern oder löschen die Zielsystemobjekte.

  • Bearbeiten Kennwortrichtlinien für das Zielsystem.

  • Bereiten Gruppen zur Aufnahme in den IT Shop vor.

  • Können Personen anlegen, die eine andere Identität haben als den Identitätstyp Primäre Identität.

  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.

  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.

  • Berechtigen innerhalb ihres Verantwortungsbereiches Personen als Eigentümer von privilegierten Objekten.

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

Produkteigner für den IT Shop

Die Produkteigner müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Entscheiden über Bestellungen.

  • Bearbeiten die Leistungspositionen und Servicekategorien, für die sie verantwortlich sind.

Bei der automatischen Übernahme von lokalen PAM Benutzergruppen in den IT Shop wird die Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner | PAM Benutzergruppen verwendet.

Eigentümer privilegierter Objekte

Die Eigentümer privilegierter Objekte wie PAM Assets, PAM Assetkonten, PAM Verzeichniskonten, PAM Assetgruppen und PAM Kontogruppen müssen einer Anwendungsrolle unter der Anwendungsrolle Privileged Account Governance | Asset- und Konteneigentümer zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Entscheiden über die Bestellung von Zugriffsanforderungen für privilegierte Objekte.

  • Attestieren den möglichen Zugriff von Benutzern auf diese privilegierten Objekte.

Administratoren für den IT Shop

Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Gruppen an IT Shop-Strukturen zu.

Administratoren für Organisationen

Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Gruppen an Abteilungen, Kostenstellen und Standorte zu.

Administratoren für Geschäftsrollen

Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Gruppen an Geschäftsrollen zu.

Self Service Tools
Knowledge Base
Notifications & Alerts
Product Support
Software Downloads
Technical Documentation
User Forums
Video Tutorials
RSS Feed
Contact Us
Licensing Assistance
Technical Support
View All
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating