Abbildung mehrerer Identitäten einer Person
Tabelle 30: Konfigurationsparameter für die Abbildung mehrerer Identitäten
Person | MasterIdentity | UseMasterForAuthentication |
Legt fest, ob zur Anmeldung an One Identity Manager-Werkzeugen über Personen-basierte Authentifizierungsmodule die Hauptidentität genutzt werden soll.
Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität für personengebundene Authentifizierungen genutzt. Ist der Konfigurationsparameter deaktiviert, wird die Subidentität für personengebundene Authentifizierungen genutzt.
Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen und zum Bearbeiten von Systembenutzern finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung. |
In großen Unternehmen hat eine Person unter Umständen für ihre Arbeit unterschiedliche Identitäten, die beispielsweise aus unterschiedlichen Verträgen für unterschiedliche Tochterunternehmen resultieren. Diese Identitäten können sich beispielsweise in der Zugehörigkeit zu Abteilungen oder Kostenstellen oder in den Zugriffsberechtigungen unterscheiden. Ebenso können externe Mitarbeiter an unterschiedlichen Standorten eingesetzt werden und mit verschiedenen Identitäten im System abgebildet sein. Um die einzelnen Identitäten einer Person abzubilden und an einer zentralen Stelle zusammenzuführen, können Sie im One Identity Manager Hauptidentitäten und Subidentitäten für eine Person definieren.
In Zielsystemen werden unterschiedliche Typen von Benutzerkonten bereitgestellt, um die Personen mit unterschiedlichen Berechtigungen zu versorgen. Eine Person kann mit unterschiedlichen Identitäten mehrere Benutzerkonten mit unterschiedlichen Typen nutzen. Um die Zuweisung von Berechtigungen in den Zielsystemen besser steuern zu können, werden die Subidentitäten der Personen in verschiedene Identitätstypen unterteilt. Diese Einteilung entspricht den Benutzerkontentypen.
Hauptidentität
-
Eine Hauptidentität repräsentiert eine wirkliche Person.
-
Einer Hauptidentität können im One Identity Manager Benutzerkonten und Berechtigungen zugewiesen werden und sie kann innerhalb des IT Shops Bestellungen auslösen.
-
Für eine Hauptidentität werden im One Identity Manager Personenstammdaten abgebildet.
-
Eine Hauptidentität kann mehrere Subidentitäten besitzen.
Subidentität
-
Eine Subidentität ist eine virtuelle Person.
-
Einer Subidentität können im One Identity Manager Benutzerkonten und Berechtigungen zugewiesen werden und sie kann innerhalb des IT Shops Bestellungen auslösen.
-
Eine Subidentität ist immer einer Hauptidentität zugeordnet.
-
Für eine Subidentität werden im One Identity Manager die Personenstammdaten abgebildet. Diese können über entsprechend definierte Bildungsregeln aus den Personenstammdaten der Hauptidentität übernommen werden.
-
Für eine Subidentität geben Sie auf dem Stammdatenformular der Person über die Auswahlliste Hauptidentität die Hauptidentität an.
TIPP: Wenn eine Person mit mehreren Identitäten arbeitet, aber bisher nur eine Identität davon im One Identity Manager bekannt war, dann sollten Sie
-
eine Hauptidentität für die Person erstellen
-
die bisher bekannte Identität als Subidentität zuordnen
-
für die weiteren Identitäten neue Subidentitäten erstellen
Auf diese Weise ist beispielsweise innerhalb eines Identity Audits die Überprüfung der zulässigen Berechtigungen der Person pro Subidentität oder für die Hauptidentität, unter Einbeziehung aller Subidentitäten, möglich.
Verwandte Themen
Identitätstypen von Personen
Um die verschiedenen Identitäten einer Person zu differenzieren, nutzen Sie die folgenden Identitätstypen.
Tabelle 31: Identitätstypen
Primäre Identität |
Standardidentität für eine Person. Die Person besitzt ein Standardbenutzerkonto. |
Organisatorische Identität |
Virtuelle Person (Subidentität), zur Abbildung unterschiedlicher Rollen einer Person in der Organisation. Die Subidentität besitzt ein Benutzerkonto vom Typ Organisatorische Identität.
Erfassen Sie zusätzlich eine Hauptidentität. |
Persönliche Administratoridentität |
Virtuelle Person (Subidentität), die ein Benutzerkonto vom Typ Persönliche Administratoridentität besitzt.
Erfassen Sie zusätzlich eine Hauptidentität. |
Zusatzidentität |
Pseudo-Person, die mit einem Benutzerkonto vom Typ Zusatzidentität verbunden ist.
Weisen Sie der Person einen Manager zu. |
Gruppenidentität |
Pseudo-Person, die mit einem administrativen Benutzerkonto vom Typ Gruppenidentität verbunden ist.
Weisen Sie der Person einen Manager zu. |
Dienstidentität |
Pseudo-Person, die mit einem Benutzerkonto vom Typ Dienstidentität verbunden ist.
Weisen Sie der Person einen Manager zu. |
Maschinenidentität |
Pseudo-Person zur Abbildung von Maschinenidentitäten. |
Die primäre Identität, die organisatorische Identität und die persönliche Administratoridentität sind verschiedene Identitäten, unter denen ein und dieselbe Person ihre unterschiedlichen Aufgaben im Unternehmen ausführen kann.
Personen mit einer persönlichen Administratoridentität oder einer organisatorische Identität richten Sie als Subidentitäten ein. Diese Subidentitäten verbinden Sie mit den Benutzerkonten. Somit können für die unterschiedlichen Benutzerkonten die erforderlichen Berechtigungen erteilt werden.
Die Zusatzidentität, die Gruppenidentität und die Dienstidentität stellen Pseudo-Personen dar, über welche die verbundenen Benutzerkonten mit den Berechtigungen in den jeweiligen Zielsystemen versorgt werden. Durch die Einordnung der Pseudo-Personen in hierarchische Rollen oder als Kunden im IT Shop können Berechtigungen an die Benutzerkonten zugewiesen werden. Bestellungen im IT Shop kann nur der Manager dieser Pseudo-Personen auslösen. Bei der Auswertung von Berichten, Attestierungen oder Complianceprüfungen prüfen Sie, ob Pseudo-Personen gesondert betrachtet werden müssen.
Verwandte Themen
Kennwortrichtlinien für Personen
Der unterstützt Sie beim Erstellen von komplexen Kennwortrichtlinien beispielsweise für Systembenutzerkennwörter, das zentrale Kennwort von Personen sowie für Kennwörter für die einzelnen Zielsysteme. Kennwortrichtlinien werden sowohl bei der Eingabe eines Kennwortes durch den Anwender als auch bei der Generierung von Zufallskennwörtern angewendet.
In der Standardinstallation werden vordefinierte Kennwortrichtlinien mitgeliefert, die Sie nutzen können und bei Bedarf an Ihre Anforderungen anpassen können. Zusätzlich können Sie eigene Kennwortrichtlinien definieren.
Detaillierte Informationen zum Thema
Vordefinierte Kennwortrichtlinien
Die vordefinierten Kennwortrichtlinien können Sie bei Bedarf an Ihre Anforderungen anpassen.
Kennwortrichtlinie für die Anmeldung am
Für die Anmeldung am wird die Kennwortrichtlinie Kennwortrichtlinie angewendet. Diese Kennwortrichtlinie definiert die Einstellung für die Kennwörter von Systembenutzern (DialogUser.Password und Person.DialogUserPassword) sowie für den Zugangscode für die einmalige Anmeldung am Web Portal (Person.Passcode).
HINWEIS: Die Kennwortrichtlinie Kennwortrichtlinie ist als Standardrichtlinie gekennzeichnet. Diese Kennwortrichtlinie wird angewendet, wenn keine andere Kennwortrichtlinie für Personen, Benutzerkonten oder Systembenutzer ermittelt werden kann.
Kennwortrichtlinie für die Bildung des zentralen Kennwortes von Personen
Bei entsprechender Konfiguration wird das zentrale Kennwort einer Person auf die Kennwörter der zielsystemspezifischen Benutzerkonten abgebildet. Die Kennwortrichtlinie Kennwortrichtlinie für zentrales Kennwort von Personen definiert die Einstellung für das zentrale Kennwort (Person.CentralPassword). Die Mitglieder der Anwendungsrolle Identity Management | Personen | Administratoren können diese Kennwortrichtlinie anpassen.
WICHTIG: Stellen Sie sicher, dass die Kennwortrichtlinie Kennwortrichtlinie für zentrales Kennwort von Personen nicht gegen die zielsystemspezifischen Anforderungen an Kennwörter verstößt.
Kennwortrichtlinien für Benutzerkonten
Es werden vordefinierte Kennwortrichtlinien bereitgestellt, die Sie auf die Kennwortspalten der Benutzerkonten anwenden können. Kennwortrichtlinien für Benutzerkonten können Sie für verschiedene Basisobjekte definieren, beispielsweise für Kontendefinitionen, Automatisierungsgrade oder für Zielsysteme.
Ausführliche Informationen zu Kennwortrichtlinien für Benutzerkonten finden Sie in den Administrationshandbüchern der Zielsysteme.
Verwandte Themen