Chat now with support
Chat with Support

Identity Manager 9.0 LTS - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Personen und Benutzerkonten Der Unified Namespace

Beispiele für den Einsatz mehrerer Kontendefinitionen innerhalb eines Zielsystemtyps

Sollen in einem Zielsystemtyp mehrere Zielsysteme über Kontendefinitionen verwaltet werden, muss pro Zielsystem eine separate Kontendefinition eingerichtet werden. Bei Zuweisung beider Kontendefinitionen an die Person wird durch die anschließende Skript- und Prozessverarbeitung dafür gesorgt, dass die Person ihre Benutzerkonten in beiden Zielsystemen erhält.

Beispiel: Personen können nur in einer Domäne ein Benutzerkonto besitzen

In einer Active Directory-Umgebung existieren zwei Domänen. Die Personen können nur in einer der beiden Domänen ein Benutzerkonto besitzen. Anhand der IT Betriebsdaten der Abteilung einer Person wird entschieden, ob das Benutzerkonto in Domäne A oder in Domäne B erstellt wird.

Erstellen Sie eine Kontendefinition A für die Domäne A und eine Kontendefinition B für die Domäne B und weisen Sie den Automatisierungsgrad Full managed zu. Dieser Automatisierungsgrad nutzt zur Ermittlung der IT Betriebsdaten die Standardbildungsregeln des One Identity Manager. In der Abbildungsvorschrift der IT Betriebsdaten für beide Kontendefinitionen legen Sie die Eigenschaft Abteilung zur Ermittlung der gültigen IT Betriebsdaten fest.

Gehört die Person zur Abteilung A, dann erhält Sie, beispielsweise per dynamischer Zuweisung, die Kontendefinition A und daraus resultierend ein Benutzerkonto in Domäne A. Gehört die Person zur Abteilung B, dann wird ihr die Kontendefinition B zugeteilt und sie erhält ein Benutzerkonto in Domäne B.

Abbildung 3: Erzeugung von Benutzerkonten anhand von Kontendefinitionen

Beispiel: Personen können in mehreren Domänen ein Benutzerkonto besitzen

In einer Active Directory-Umgebung existieren zwei Domänen. Die Personen können in beiden Domänen ein Benutzerkonto besitzen. Das Benutzerkonto in Domäne A erhält die IT Betriebsdaten über die Abteilung einer Person. Das Benutzerkonto in Domäne B erhält die IT Betriebsdaten über die primäre Geschäftsrolle einer Person.

Erstellen Sie eine Kontendefinition A für die Domäne A und eine Kontendefinition B für die Domäne B und weisen Sie den Automatisierungsgrad Full managed zu. Der Automatisierungsgrad Full managed nutzt zur Ermittlung der IT Betriebsdaten die Standardbildungsregeln des One Identity Manager. In der Abbildungsvorschrift der IT Betriebsdaten für Kontendefinition A legen Sie die Eigenschaft Abteilung zur Ermittlung der gültigen IT Betriebsdaten fest. In der Abbildungsvorschrift der IT Betriebsdaten für Kontendefinition B legen Sie die Eigenschaft Geschäftsrolle zur Ermittlung der gültigen IT Betriebsdaten fest.

Abbildung 4: Erzeugung von Benutzerkonten anhand von Kontendefinitionen

Automatische Zuordnung von Personen zu Benutzerkonten

Durch die automatische Personenzuordnung können

  • vorhandene Personen an Benutzerkonten zugeordnet werden

  • Personenstammdaten anhand vorhandener Benutzerkonten erzeugt werden

Durch eine Synchronisation werden die Benutzerkonten zunächst initial aus einem Zielsystem in den One Identity Manager eingelesen. Durch anschließende Skript- und Prozessverarbeitung kann die automatische Zuordnung der Benutzerkonten zu bestehenden Personen erfolgen. Gegebenenfalls können neue Personen anhand vorhandener Benutzerkonten erzeugt und den Benutzerkonten zugeordnet werden. Dieses Vorgehen ist jedoch nicht das Standardverfahren für den One Identity Manager. Das Verfahren können Sie einsetzen, um bei der Synchronisation aus den bereits vorhandenen Benutzerkonten eines Zielsystems Personendatensätze zu erstellen.

Schalten Sie das Verfahren im laufenden Betrieb ein, dann erfolgt ab diesem Zeitpunkt die automatische Zuordnung der Personen zu Benutzerkonten. Deaktivieren Sie das Verfahren zu einem späteren Zeitpunkt wieder, wirkt sich diese Änderung nur auf Benutzerkonten aus, die ab diesem Zeitpunkt angelegt oder aktualisiert werden. Bereits vorhandene Zuordnungen von Personen zu Benutzerkonten bleiben bestehen.

Die Kriterien für die automatische Zuordnung eines Benutzerkontos zu einer Person werden unternehmensspezifisch definiert. Personen können bei Bedarf anhand einer Vorschlagsliste direkt an vorhandene Benutzerkonten zugeordnet werden.

Führen Sie folgende Aktionen aus, damit Personen automatisch zugeordnet werden können:

  • Aktivieren Sie im Designer die Konfigurationsparameter für die automatische Zuordnung der Personen zu Benutzerkonten und wählen Sie den gewünschten Modus aus.

  • Definieren Sie die Suchkriterien für die Personenzuordnung.

  • Sollen durch die automatische Personenzuordnung verwaltete Benutzerkonten (Zustand Linked configured) entstehen, dann weisen Sie dem Zielsystem eine Kontendefinition zu. Stellen Sie sicher, dass der Automatisierungsgrad, der verwendet werden soll, als Standardautomatisierungsgrad eingetragen ist.

    Ist keine Kontendefinition am Zielsystem angegeben, werden die Benutzerkonten nur mit der Person verbunden (Zustand Linked). Dies ist beispielsweise bei der initialen Synchronisation der Fall.

Verwandte Themen

Konfigurieren der automatischen Personenzuordnung

In der One Identity Manager Standardinstallation wird die automatische Zuordnung von Personen zu Benutzerkonten über Konfigurationsparameter gesteuert und ist somit global für einen Zielsystemtyp wirksam. Es wird dabei zwischen dem Verhalten bei Synchronisationen und dem Standardverhalten unterschieden.

HINWEIS:

Für die Synchronisation gilt:

  • Die automatische Personenzuordnung wirkt, wenn Benutzerkonten neu angelegt oder aktualisiert werden.

Außerhalb der Synchronisation gilt:

  • Die automatische Personenzuordnung wirkt, wenn Benutzerkonten neu angelegt werden.
HINWEIS: Die Konfigurationsparameter sind in den One Identity Manager Modulen enthalten und stehen zur Verfügung, wenn die Module installiert sind.

Konfigurationsparameter für die automatische Personenzuordnung:

  • TargetSystem | <Zielsystemtyp> | PersonAutoDefault

  • TargetSystem | <Zielsystemtyp> | PersonAutoFullSync

Jeder Konfigurationsparameter kennt die zulässigen Modi:

  • NO: Es erfolgt keine automatische Zuordnung einer Person zum Benutzerkonto. Dies ist der Standardwert, der auch abgebildet wird, wenn der Konfigurationsparameter nicht aktiv ist.

  • SEARCH: Ist dem Benutzerkonto keine Person zugeordnet, so wird anhand definierter Kriterien nach der passenden Person gesucht und die gefundene Person dem Benutzerkonto zugeordnet. Wird keine Person gefunden, so wird auch keine neue Person angelegt.

  • CREATE: Ist dem Benutzerkonto keine Person zugeordnet, wird immer eine neue Person angelegt, einige Eigenschaften initialisiert und die Person dem Benutzerkonto zugeordnet.

    HINWEIS: Dieser Modus steht nicht für alle Zielsystemtypen zur Verfügung.
  • SEARCH AND CREATE: Ist dem Benutzerkonto keine Person zugeordnet, wird anhand definierter Kriterien nach einer passenden Person gesucht und die gefundene Person dem Benutzerkonto zugeordnet. Wird keine Person gefunden, so werden eine neue Person angelegt, einige Eigenschaften initialisiert und die Person dem Benutzerkonto zugeordnet.

    HINWEIS: Dieser Modus steht nicht für alle Zielsystemtypen zur Verfügung.

Wird durch den eingesetzten Modus ein Benutzerkonto mit einer Person verbunden, so erhält das Benutzerkonto durch interne Verarbeitung den Standardautomatisierungsgrad der Kontendefinition, die am Zielsystem des Benutzerkontos eingetragen ist. Diesen Automatisierungsgrad können Sie nachträglich ändern.

HINWEIS:

Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten Personen erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für das Zielsystem bekannt, werden die Benutzerkonten mit den Personen verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten sind somit im Zustand Linked (verbunden).

Um die Benutzerkonten über Kontendefinitionen zu verwalten, weisen Sie diesen Benutzerkonten eine Kontendefinition und einen Automatisierungsgrad zu.

Um die Benutzerkonten über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.

  2. Weisen Sie den Benutzerkonten im Zustand Linked (verbunden) die Kontendefinition zu. Es wird der Standardautomatisierungsgrad der Kontendefinition für das Benutzerkonto übernommen.

    1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Benutzerkonten > Verbunden aber nicht konfiguriert > <Zielsystem>.

    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.

    3. Wählen Sie in der Auswahlliste Kontendefinition die Kontendefinition.

    4. Wählen Sie die Benutzerkonten, die die Kontendefinition erhalten sollen.

    5. Speichern Sie die Änderungen.

In den Zielsystemtyp-abhängigen Insert/Update-Prozessen der One Identity Manager Standardinstallation werden die Konfigurationsparameter ausgewertet und so der auszuführende Modus ermittelt. Die Namen der entsprechenden Prozessschritte lauten Search and Create Person for Account und Search and Create Person for Account (Fullsync). Um die automatische Personenzuordnung in den einzelnen Zielsystemen eines Zielsystemtyps, beispielsweise den einzelnen Domänen einer Active Directory-Umgebung, unterschiedlich einzusetzen, können Sie diese Prozessschritte als Vorlage nutzen.

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

Die Kriterien für die Personenzuordnung werden an den Zielsystemen definiert. Legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person dem Benutzerkonto zugeordnet werden kann. Die Suchkriterien können Sie durch Formatdefinitionen weiter einschränken.

Das zusammengestellte Suchkriterium wird in XML-Notation in die Spalte Suchkriterien für die automatische Personenzuordnung (AccountToPersonMatchingRule) der Zielsystem-Tabelle geschrieben.

Die Suchkriterien werden bei der automatischen Zuordnung von Personen zu Benutzerkonten ausgewertet. Darüber hinaus können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen.

HINWEIS: Die Objektdefinitionen für Benutzerkonten, auf welche die Suchkriterien angewendet werden können, sind vordefiniert. Sollten Sie weitere Objektdefinitionen benötigen, um beispielsweise die Vorauswahl der Benutzerkonten weiter einzuschränken, erzeugen Sie im Designer die entsprechenden kundenspezifische Objektdefinitionen. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating