Chat now with support
Chat with Support

Identity Manager 9.0 LTS - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Personen und Benutzerkonten Der Unified Namespace

Suchkriterien für die Personenzuordnung definieren

Abbildung 5: Suchkriterien für die Personenzuordnung

HINWEIS: Der One Identity Manager liefert ein Standardmapping für die Personenzuordnung. Führen Sie die folgenden Schritte nur aus, wenn Sie das Standardmapping unternehmensspezifisch anpassen möchten.

Um ein neues Suchkriterium für die Personenzuordnung zu definieren:

  1. Wählen Sie im Manager die Kategorie Zielsystemtyp > <Zielsystem>.

  2. Wählen Sie in der Ergebnisliste das Zielsystem und führen Sie die Aufgabe Suchkriterien für die Personenzuordnung definieren aus.

  3. Wählen Sie eine Objektdefinition für das Mapping aus.

    HINWEIS: Die Objektdefinitionen für Benutzerkonten, auf welche die Suchkriterien angewendet werden können, sind vordefiniert. Sollten Sie weitere Objektdefinitionen benötigen, um beispielsweise die Vorauswahl der Benutzerkonten weiter einzuschränken, erzeugen Sie im Designer die entsprechenden kundenspezifische Objektdefinitionen. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch.

    1. Um eine Objektdefinition hinzuzufügen, klicken Sie Hinzufügen > Kriterium. Wählen Sie über die Auswahlliste Anwenden auf die Objektdefinition aus, für die das Suchkriterium definiert werden soll.

      Wenn Sie keine Objektdefinition auswählen, wird das Suchkriterium auf alle Benutzerkonten angewendet.

    2. Um die Objektdefinition eines vorhandenen Suchkriteriums zu ändern, markieren Sie im Bereich Suchkriterien das Suchkriterium. Wählen Sie über die Auswahlliste Anwenden auf die Objektdefinition aus, für den das Suchkriterium definiert werden soll.

      Wenn die bestehende Auswahl entfernt wird, wird das Suchkriterium auf alle Benutzerkonten angewendet.

  4. Wählen Sie die Objekteigenschaften für das Mapping aus.

    • Spalte an Person: Wählen Sie die Spalte an der Tabelle Person, auf der die Suche ausgeführt wird.

    • Spalte am Benutzerkonto: Wählen Sie die Spalte an der Benutzerkonten-Tabelle, die den Wert für die Suche einer Person liefert.

  5. Definieren Sie Formatregeln, um das Suchkriterium einzuschränken.

    Wählen Sie im Menü Format hinzufügen eine Formatvorlage aus. Definieren Sie Formatregeln, die auf die zu suchende Zeichenkette angewendet werden sollen. Es können mehrere Formatvorlagen kombiniert werden.

    Tabelle 4: Formatvorlagen
    Formatvorlage Bedeutung

    Zeichenbereich

    Zeichen der Zeichenkette, die als Suchkriterium genutzt werden sollen.

    Beschneide auf feste Länge

    Länge der zu suchenden Zeichenkette fest. Damit die feste Länge erreicht wird, kann die Zeichenkette am Beginn oder am Ende mit Füllzeichen ergänzt werden.

    Führende oder folgende Zeichen entfernen

    Zeichen, die am Anfang oder am Ende der Zeichenkette entfernt werden sollen. Die verbleibende Zeichenkette bildet das Suchkriterium.

    Zerteile Wert

    Zeichen, bei welchem die Zeichenkette geteilt werden soll und welcher der verbleibenden Teile als Suchkriterium genutzt werden soll.

  6. Testen Sie die Formatregeln.

    Erfassen Sie im Bereich Formatierungsvorschau eine Zeichenkette, auf welche die Formatierung angewendet wird. So können Sie die Auswirkungen Ihrer Formatierung auf das Suchkriterium testen.

  7. Wenden Sie die Formatregeln an.

    Aktivieren Sie Formatierung anwenden an den Spalten, für die das Suchkriterium eingeschränkt werden soll.

  8. Speichern Sie die Änderungen.

Für ein Suchkriterium können verschiedene Objekteigenschaften verknüpft werden. Dabei können sowohl UND- als auch ODER-Verknüpfungen realisiert werden.

Beispiel: UND-Verknüpfung

Um Personen an Notes Benutzerkonten zuzuordnen, müssen sowohl der Nachname als auch der Vorname von Person und Benutzerkonto identisch sein. Folgende Tabellenspalten werden gemappt:

UND

Person.Firstname – NotesUser.Firstname

Person.LastName – NotesUser.LastName

Beispiel: ODER-Verknüpfung

Um Personen an Active Directory Benutzerkonten zuzuordnen, müssen entweder das zentrale Benutzerkonto der Person und der Anmeldename des Benutzerkontos identisch sein oder der vollständige Name der Person und der Anzeigename des Benutzerkontos. Folgende Tabellenspalten werden gemappt:

ODER

Person.CentralAccount – ADSAccount.SAMAccountName

Person.InternalName – ADSAccount.DisplayName

Um Objekteigenschaften für ein Suchkriterium zu verknüpfen

  1. Markieren Sie im Bereich Suchkriterien den Operator, zu dem eine weitere Objekteigenschaft hinzugefügt werden soll. Klicken Sie Operator ändern, um den Operator für die Verknüpfung auszuwählen.

  2. Klicken Sie Hinzufügen > Kriterium.

  3. Wählen Sie die Objekteigenschaften für das Mapping aus.

  4. Definieren Sie Formatregeln und wenden Sie diese an.

  5. Wenn Sie Verknüpfungen verschachteln wollen, klicken Sie Hinzufügen > UND-Operator oder Hinzufügen > ODER-Operator und führen Sie die Schritte 2 bis 4 erneut aus.

  6. Speichern Sie die Änderungen.

Um ein Suchkriterium zu löschen

  1. Markieren Sie das Suchkriterium und klicken Sie Entfernen.

  2. Speichern Sie die Änderungen.
Verwandte Themen

Personen suchen und direkt an Benutzerkonten zuordnen

Anhand der Suchkriterien können Sie eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen. Die Benutzerkonten sind dafür in verschiedenen Ansichten zusammengestellt.

Tabelle 5: Ansichten zur manuellen Zuordnung

Ansicht

Beschreibung

Vorgeschlagene Zuordnungen

Die Ansicht listet alle Benutzerkonten auf, denen der One Identity Manager eine Person zuordnen kann. Dazu werden die Personen angezeigt, die durch die Suchkriterien ermittelt und zugeordnet werden können.

Zugeordnete Benutzerkonten

Die Ansicht listet alle Benutzerkonten auf, denen eine Person zugeordnet ist.

Ohne Personenzuordnung

Die Ansicht listet alle Benutzerkonten auf, denen keine Person zugeordnet ist und für die über die Suchkriterien keine passende Person ermittelt werden kann.

Um Suchkriterien auf die Benutzerkonten anzuwenden

  • Im unteren Bereich des Formulars Suchkriterien für die Personenzuordnung definieren klicken Sie Neu laden.

    Für alle Benutzerkonten im Zielsystem werden die möglichen Zuordnungen anhand der Suchkriterien ermittelt. Die drei Ansichten werden aktualisiert.

TIPP: Mit Maus-Doppelklick auf einen Eintrag in den Ansichten werden das Benutzerkonto und die Person geöffnet und Sie können die Stammdaten einsehen.

Durch die Zuordnung von Personen an die Benutzerkonten entstehen verbundene Benutzerkonten (Zustand Linked). Um verwaltete Benutzerkonten zu erhalten (Zustand Linked configured), können Sie gleichzeitig eine Kontendefinition zuordnen.

Um Personen direkt über die Vorschlagsliste zuzuordnen

  • Klicken Sie Vorgeschlagene Zuordnungen.

    1. Klicken Sie Auswahl für alle Benutzerkonten, denen die vorgeschlagene Person zugeordnet werden soll. Eine Mehrfachauswahl ist möglich.

    2. (Optional) Wählen Sie im Auswahlfeld Diese Kontendefinition zuweisen eine Kontendefinition und im Auswahlfeld Diesen Automatisierungsgrad zuweisen einen Automatisierungsgrad.

    3. Klicken Sie Ausgewählte zuweisen.

    4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die per Suchkriterium ermittelten Personen zugeordnet. Wenn eine Kontendefinition ausgewählt wurde, wird diese an alle ausgewählten Benutzerkonten zugeordnet.

    - ODER -

  • Klicken Sie Ohne Personenzuordnung.

    1. Klicken Sie Person auswählen für das Benutzerkonto, dem eine Person zugeordnet werden soll. Wählen Sie eine Person aus der Auswahlliste.

    2. Klicken Sie Auswahl für alle Benutzerkonten, denen die ausgewählten Personen zugeordnet werden sollen. Eine Mehrfachauswahl ist möglich.

    3. (Optional) Wählen Sie im Auswahlfeld Diese Kontendefinition zuweisen eine Kontendefinition und im Auswahlfeld Diesen Automatisierungsgrad zuweisen einen Automatisierungsgrad.

    4. Klicken Sie Ausgewählte zuweisen.

    5. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die Personen zugeordnet, die in der Spalte Person angezeigt werden. Wenn eine Kontendefinition ausgewählt wurde, wird diese an alle ausgewählten Benutzerkonten zugeordnet.

Um Zuordnungen zu entfernen

  • Klicken Sie Zugeordnete Benutzerkonten.

    1. Klicken Sie Auswahl für alle Benutzerkonten, deren Personenzuordnung entfernt werden soll. Mehrfachauswahl ist möglich.

    2. Klicken Sie Ausgewählte entfernen.

    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Von den ausgewählten Benutzerkonten werden die zugeordneten Personen entfernt.

Anpassen der Skripte für die automatische Personenzuordnung

Die automatische Personenzuordnung wird durch Skripte gesteuert. Diese Skripte ordnen im Modus SEARCH anhand der definierten Suchkriterien vorhandene Personen an die Benutzerkonten zu. Darüber hinaus definieren die Skripte für den Modus CREATE die Eigenschaften, die bei Erzeugung einer neuen Person initialisiert werden. Diese Skripte sind in einer One Identity Manager Standardinstallation für jeden Zielsystemtyp implementiert. Der Name der Skripte lautet:

<Zielsystemtyp>_PersonAuto_Mapping_<Kontotyp>

wobei:

<Zielsystemtyp> = Kurzbezeichnung des angesprochenen Zielsystemtyps

<Kontotyp> = Tabelle, welche die Benutzerkonten enthält

TIPP: Um die Suchkriterien für die automatische Personenzuordnung oder die Eigenschaften der neu zu erzeugenden Personen zu erweitern, können Sie die Skripte unternehmensspezifisch anpassen. Die Skripte sind überschreibbar. Erstellen Sie dafür eine Kopie eines vorhandenen Skripts und erweitern Sie die Kopie unternehmensspezifisch.

Bei der automatischen Personenzuordnung im Modus CREATE werden einige Eigenschaften des Benutzerkontos an das neue Personenobjekt übergeben. Diese Personeneigenschaften werden ebenfalls über die Skripte definiert. Die Initialisierung von Eigenschaften bei der Erzeugung einer Person zu einem Benutzerkonto erfolgt dabei über die Auswertung der Einträge in der Tabelle DialogNotification. In dieser Tabelle werden die über Bildungsregeln verbundenen Eigenschaften als Sender-Empfänger-Paar abgebildet. Die Auswertung der Einträge in DialogNotification ist nachfolgend beispielhaft für die Initialisierung des Nachnamens einer Person erläutert.

Beispiel:

Der Nachname eines Active Directory Benutzerkontos wird aus dem Nachnamen der Person gebildet.

Bildungsregel auf ADSAccount.Surname:

Value = $FK(UID_Person).Lastname$

Erfolgt eine Änderung des Nachnamens der Person wird der Nachname des Active Directory Benutzerkontos ebenfalls geändert. Die Spalte Person.Lastname ist somit der Sender und die Spalte ADSAccount.Surname ist der Empfänger.

Beziehung laut Tabelle DialogNotification:

Person.Lastname -- > ADSAccount.Surname

Die Tabelle DialogNotification kann beim Initialisieren der Eigenschaften einer neuen Person zur Hilfe genommen werden, indem diese Beziehungen rückwärts aufgelöst werden. Der Nachname der Person kann durch den Nachnamen des Active Directory Benutzerkontos bestückt werden. Damit können also bereits einige Vorbesetzungen für das Personenobjekt automatisch generiert werden. Allerdings können nur eineindeutige Beziehungen aufgelöst werden.

Beispiel:

Der Anzeigename eines Active Directory Benutzerkontos soll aus dem Nachnamen und dem Vornamen einer Person gebildet werden.

Beziehungen laut Tabelle DialogNotification:

Person.Lastname -- > ADSAccount.Displayname

Person.Firstname -- > ADSAccount.Displayname

Hier können Person.Firstname und Person.Lastname nicht aus ADSAccount.Displayname ermittelt werden, da dieser ein zusammengesetzter Wert ist.

Um das Mapping von Benutzerkontoeigenschaften auf Personeneigenschaften zu erleichtern, können Sie das Skript TSB_PersonAuto_GetPropMappings nutzen. Das Skript wertet die Beziehungen von Eigenschaften unter Nutzung der Tabelle DialogNotification aus. Das Skript erzeugt bei Ausführung über den System Debugger einen VB.Net Skriptcode mit den möglichen Zuweisungen. Diesen Code können Sie dann in das jeweilige Skript <Zielsystemtyp>_PersonAuto_Mapping_<Kontotyp> einfügen.

Beispiel: Ausgabe des Skripts TSB_PersonAuto_GetPropMappings

' PROPERTY MAPPINGS ADSAccount - Person

' ADSAccount.Initials -- > Person.Initials

' ADSAccount.Locality-- > Person.City

...

Try

myPers.PutValue("Initials", myAcc.GetValue("Initials").String)

Catch ex As Exception

End Try

Try

myPers.PutValue("City", myAcc.GetValue("Locality").String)

Catch ex As Exception

End Try

...

Deaktivieren und Löschen von Personen und Benutzerkonten

Der Umgang mit Personen, vor allem beim dauerhaften oder zeitweisen Ausscheiden einer Person aus dem Unternehmen, wird in den einzelnen Unternehmen unterschiedlich gehandhabt. Es gibt Unternehmen, die Personen nie löschen, sondern nur deaktivieren, wenn sie das Unternehmen verlassen. Andere Unternehmen wollen Personen löschen, jedoch erst dann, wenn sichergestellt ist, dass alle Benutzerkonten gelöscht wurden.

Wie Benutzerkonten behandelt werden, wenn Personen deaktiviert oder gelöscht werden, ist abhängig von der Art der Verwaltung der Benutzerkonten. Es gelten folgende Szenarien:

  1. Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

  2. Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

Folgende Verfahren sind in der Standardinstallation des One Identity Manager verfügbar:

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating