Chat now with support
Chat with Support

Identity Manager 8.2 - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von PAM Benutzerkonten und Personen Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM Objekten im One Identity Manager PAM Zugriffsanforderungen Behandeln von PAM Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Kontendefinitionen bearbeiten

Um eine Kontendefinition zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Basisdaten zur Konfiguration > Kontendefinitionen > Kontendefinitionen.

  2. Wählen Sie in der Ergebnisliste eine Kontendefinition.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Bearbeiten Sie die Stammdaten der Kontendefinition.

  5. Speichern Sie die Änderungen.

Verwandte Themen

Stammdaten von Kontendefinitionen

Für eine Kontendefinition erfassen Sie die folgenden Stammdaten.

Tabelle 7: Stammdaten einer Kontendefinition

Eigenschaft

Beschreibung

Kontendefinition

Bezeichnung der Kontendefinition.

Benutzerkontentabelle

Tabelle im One Identity Manager Schema, welche die Benutzerkonten abbildet.

Für PAM Benutzer wählen Sie PAGUser.

Zielsystem

Zielsystem für das die Kontendefinition gelten soll.

Vorausgesetzte Kontendefinition

Angabe der vorausgesetzten Kontendefinition. Definieren Sie Abhängigkeiten zwischen Kontendefinitionen. Wenn die Kontendefinition bestellt oder zugeordnet wird, wird die vorausgesetzte Kontendefinition automatisch zugeordnet.

Für eine PAM Appliance können Sie optional eine Active Directory Kontendefinition oder eine LDAP Kontendefinition wählen. In diesem Fall wird für die Person zunächst ein Active Directory oder LDAP Benutzerkonto erzeugt. Ist dieses Benutzerkonto vorhanden, wird das PAM Benutzerkonto als Verzeichnisbenutzer erstellt.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Automatisierungsgrad (initial)

Standardautomatisierungsgrad, der bei Neuanlage von Benutzerkonten standardmäßig verwendet werden soll.

Risikoindex

Wert zur Bewertung des Risikos von Zuweisungen der Kontendefinition an Personen. Stellen Sie einen Wert im Bereich von 0 bis 1 ein. Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist.

Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Leistungsposition

Leistungsposition, über welche die Kontendefinition im IT Shop bestellt wird. Weisen Sie eine vorhandene Leistungsposition zu oder legen Sie eine neue Leistungsposition an.

IT Shop

Gibt an, ob die Kontendefinition über den IT Shop bestellbar ist. Die Kontendefinition kann über das Web Portal von ihren Mitarbeitern bestellt werden und über definierte Genehmigungsverfahren zugeteilt werden. Die Kontendefinition kann weiterhin direkt an Personen und Rollen außerhalb des IT Shop zugewiesen werden.

Verwendung nur im IT Shop

Gibt an, ob die Kontendefinition ausschließlich über den IT Shop bestellbar ist. Die Kontendefinition kann über das Web Portal von ihren Mitarbeitern bestellt werden und über definierte Genehmigungsverfahren zugeteilt werden. Eine direkte Zuweisung der Kontendefinition an Rollen außerhalb des IT Shop ist nicht zulässig.

Automatische Zuweisung zu Personen

Gibt an, ob die Kontendefinition automatisch an alle internen Personen zugewiesen werden soll. Um die Kontendefinition automatisch an alle internen Personen zuzuweisen, verwenden Sie die Aufgabe Automatische Zuweisung zu Personen aktivieren. Die Kontendefinition wird an jede Person zugewiesen, die nicht als extern markiert ist. Sobald eine neue interne Person erstellt wird, erhält diese Person ebenfalls automatisch diese Kontendefinition.

Um die automatische Zuweisung der Kontendefinition von allen Personen zu entfernen, verwenden Sie die Aufgabe Automatische Zuweisung zu Personen deaktivieren. Ab diesem Zeitpunkt wird die Kontendefinition nicht neu an Personen zugewiesen. Bestehende Zuweisungen der Kontendefinition bleiben jedoch erhalten.

Kontendefinition bei dauerhafter Deaktivierung beibehalten

Angabe zur Zuweisung der Kontendefinition an dauerhaft deaktivierte Personen.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei zeitweiliger Deaktivierung beibehalten

Angabe zur Zuweisung der Kontendefinition an zeitweilig deaktivierte Personen.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei verzögertem Löschen beibehalten

Angabe zur Zuweisung der Kontendefinition bei verzögertem Löschen von Personen.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei Sicherheitsgefährdung beibehalten

Angabe zur Zuweisung der Kontendefinition an sicherheitsgefährdende Personen.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Ressourcentyp

Ressourcentyp zur Gruppierung von Kontendefinitionen.

Freies Feld 01- Freies Feld 10

Zusätzliche unternehmensspezifische Informationen. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder können Sie mit dem Designer an Ihre Anforderungen anpassen.

Gruppen erbbar

Gibt an, ob das Benutzerkonto Gruppen über die verbundene Person erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen, in denen die Person Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Person mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.

  • Wenn eine Person eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Person diese Gruppe nur, wenn die Option aktiviert ist.

Automatisierungsgrade bearbeiten

Der One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade:

  • Unmanaged: Benutzerkonten mit dem Automatisierungsgrad Unmanaged erhalten eine Verbindung zur Person, erben jedoch keine weiteren Eigenschaften. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Person werden initial einige der Personeneigenschaften übernommen. Werden die Personeneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen nicht an das Benutzerkonto weitergereicht.

  • Full managed: Benutzerkonten mit dem Automatisierungsgrad Full managed erben definierte Eigenschaften der zugeordneten Person. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Person werden initial die Personeneigenschaften übernommen. Werden die Personeneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen an das Benutzerkonto weitergereicht.

HINWEIS: Die Automatisierungsgrade Full managed und Unmanaged werden in Bildungsregeln ausgewertet. Die mitgelieferten Bildungsregeln können Sie im Designer unternehmensspezifisch anpassen.

Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren. Die Bildungsregeln müssen Sie um die Vorgehensweise für die zusätzlichen Automatisierungsgrade erweitern.

Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll. Ausführliche Informationen zu Automatisierungsgraden finden Sie imOne Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

  • Um die Berechtigungen zu entziehen, wenn eine Person deaktiviert, gelöscht oder als sicherheitsgefährdend eingestuft wird, können die Benutzerkonten der Person gesperrt werden. Wird die Person zu einem späteren Zeitpunkt wieder aktiviert, werden ihre Benutzerkonten ebenfalls wieder freigeschaltet.

  • Zusätzlich kann die Vererbung der Gruppenmitgliedschaften definiert werden. Die Unterbrechung der Vererbung kann beispielsweise gewünscht sein, wenn die Benutzerkonten einer Person gesperrt sind und somit auch nicht in Gruppen Mitglied sein dürfen. Während dieser Zeit sollen keine Vererbungsvorgänge für diese Personen berechnet werden. Bestehende Gruppenmitgliedschaften werden dann gelöscht!

Um einen Automatisierungsgrad zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Basisdaten zur Konfiguration > Kontendefinitionen > Automatisierungsgrade.

  2. Wählen Sie in der Ergebnisliste einen Automatisierungsgrad.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Bearbeiten Sie die Stammdaten des Automatisierungsgrades.

  5. Speichern Sie die Änderungen.

Verwandte Themen

Automatisierungsgrade erstellen

Der One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade Unmanaged und Full managed. Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren.

WICHTIG: Erweitern Sie im Designer die Bildungsregeln um die Vorgehensweise für die zusätzlichen Automatisierungsgrade. Ausführliche Informationen zu Bildungsregeln finden Sie im One Identity Manager Konfigurationshandbuch.

Um einen Automatisierungsgrad zu erstellen

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Basisdaten zur Konfiguration > Kontendefinitionen > Automatisierungsgrade.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Stammdatenformular bearbeiten Sie die Stammdaten des Automatisierungsgrades.

  4. Speichern Sie die Änderungen.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating