Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Synchronisieren einer Azure Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten Anpassen der Synchronisationskonfiguration für Azure Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Azure Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Azure Active Directory Benutzerkonten Automatische Zuordnung von Identitäten zu Azure Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Azure Active Directory Benutzerkonten Löschverzögerung für Azure Active Directory Benutzerkonten festlegen
Managen von Mitgliedschaften in Azure Active Directory Gruppen Managen von Zuweisungen von Azure Active Directory Administratorrollen Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen
Wirksame und unwirksame Azure Active Directory Dienstpläne für Azure Active Directory Benutzerkonten und Azure Active Directory Gruppen anzeigen Zuweisen von Azure Active Directory Abonnements an Azure Active Directory Benutzerkonten Zuweisen von unwirksamen Azure Active Directory Dienstpläne an Azure Active Directory Benutzerkonten Vererbung von Azure Active Directory Abonnements anhand von Kategorien Vererbung von unwirksamen Azure Active Directory Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Azure Active Directory Benutzerkonten Azure Active Directory Rollenmanagement Abbildung von Azure Active Directory Objekten im One Identity Manager
Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten Azure Active Directory Benutzeridentitäten Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Verwaltungseinheiten Azure Active Directory Abonnements und Azure Active Directory Dienstpläne Unwirksame Azure Active Directory Dienstpläne Azure Active Directory App-Registierungen und Azure Active Directory Dienstprinzipale Berichte über Azure Active Directory Objekte
Behandeln von Azure Active Directory Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlagen für Azure Active Directory Verarbeitung von Azure Active Directory Systemobjekten Einstellungen des Azure Active Directory Konnektors

Administrative Benutzerkonten für eine Identität bereitstellen

Mit dieser Aufgabe erstellen Sie ein administratives Benutzerkonto, das von einer Identität genutzt werden kann.

Voraussetzungen
  • Das Benutzerkonto muss als persönliche Administratoridentität gekennzeichnet sein.

  • Die Identität, die das Benutzerkonto nutzen soll, muss als persönliche Administratoridentität gekennzeichnet sein.

  • Die Identität, die das Benutzerkonto nutzen soll, muss mit einer Hauptidentität verbunden sein.

Um ein administratives Benutzerkonto für eine Identität bereitzustellen

  1. Kennzeichnen Sie das Benutzerkonto als persönliche Administratoridentität.

    1. Wählen Sie im Manager die Kategorie Azure Active Directory > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Identität den Wert Persönliche Administratoridentität.

  2. Verbinden Sie das Benutzerkonto mit der Identität, die dieses administrative Benutzerkonto nutzen soll.

    1. Wählen Sie im Manager die Kategorie Azure Active Directory > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Identität die Identität, die dieses administrative Benutzerkonto nutzt.

      TIPP: Als Zielsystemverantwortlicher können Sie über die Schaltfläche eine neue Identität erstellen.

Verwandte Themen

Administrative Benutzerkonten für mehrere Identitäten bereitstellen

Mit dieser Aufgabe erstellen Sie ein administratives Benutzerkonto, das von mehreren Identitäten genutzt werden kann.

Voraussetzung
  • Das Benutzerkonto muss als Gruppenidentität gekennzeichnet sein.

  • Es muss eine Identität mit dem Typ Gruppenidentität vorhanden sein. Die Gruppenidentität muss einen Manager haben.

  • Die Identitäten, die das Benutzerkonto nutzen dürfen, müssen als primäre Identitäten gekennzeichnet sein.

Um ein administratives Benutzerkonto für mehrere Identitäten bereitzustellen

  1. Kennzeichnen Sie das Benutzerkonto als Gruppenidentität.

    1. Wählen Sie im Manager die Kategorie Azure Active Directory > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Identität den Wert Gruppenidentität.

  2. Verbinden Sie das Benutzerkonto mit einer Identität.

    1. Wählen Sie im Manager die Kategorie Azure Active Directory > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Identität eine Identität mit dem Typ Gruppenidentität.

      TIPP: Als Zielsystemverantwortlicher können Sie über die Schaltfläche eine neue Gruppenidentität erstellen.

  3. Weisen Sie dem Benutzerkonto die Identitäten zu, die dieses administrative Benutzerkonto nutzen sollen.

    1. Wählen Sie im Manager die Kategorie Azure Active Directory > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Identitäten mit Nutzungsberechtigungen zuzuweisen.

    4. Weisen Sie im Bereich Zuordnungen hinzufügen die Identitäten zu.

      TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Identitäten entfernen.

      Um eine Zuweisung zu entfernen

      • Wählen Sie die Identität und doppelklicken Sie .

Verwandte Themen

Privilegierte Benutzerkonten

Privilegierte Benutzerkonten werden eingesetzt, um Identitäten mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

HINWEIS: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ Union) definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.

Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.

  2. Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert Nur initial. In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.

  3. Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  4. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Identität ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.

    • Um zu verhindern, das privilegierte Benutzerkonten die Berechtigungen des Standardbenutzers erben, definieren Sie Abbildungsvorschriften für die Spalten IsGroupAccount_Group, IsGroupAccount_SubSku und IsGroupAccount_DeniedService mit dem Standardwert 0 und aktivieren Sie die Option Immer Standardwert verwenden.

  5. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  6. Weisen Sie die Kontendefinition direkt an die Identitäten zu, die mit privilegierten Benutzerkonten arbeiten sollen.

    Durch die Zuweisung der Kontendefinition an eine Identität wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

TIPP: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einem definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach der die Anmeldenamen gebildet werden.

  • Um ein Präfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | AzureAD | Accounts | PrivilegedAccount | AccountName_Prefix.

  • Um ein Postfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | AzureAD | Accounts | PrivilegedAccount | AccountName_Postfix.

Diese Konfigurationsparameter werden in der Standardinstallation ausgewertet, wenn Sie ein Benutzerkonto, mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) kennzeichnen. Die Anmeldenamen der Benutzerkonten werden entsprechend der Bildungsregeln umbenannt. Dies erfolgt auch, wenn die Benutzerkonten über den Zeitplan Ausgewählte Benutzerkonten als privilegiert kennzeichnen als privilegiert gekennzeichnet werden. Passen Sie bei Bedarf den Zeitplan im Designer an.

Verwandte Themen

Aktualisieren von Identitäten bei Änderung von Azure Active Directory Benutzerkonten

Im One Identity Manager werden Änderungen der Identitäteneigenschaften an die verbundenen Benutzerkonten weitergereicht und anschließend in das Zielsystem provisioniert. Unter Umständen kann es notwendig sein, Änderungen von Benutzerkonten im Zielsystem auf die Identitäteneigenschaften im One Identity Manager weiterzureichen.

Beispiel:

Während des Testbetriebs werden die Benutzerkonten aus dem Zielsystem in den One Identity Manager nur eingelesen und Identitäten erzeugt. Die Verwaltung der Benutzerkonten (Erstellen, Ändern und Löschen) über den One Identity Manager soll erst zu einem späteren Zeitpunkt in Betrieb genommen werden. Während des Testbetriebs werden die Benutzerkonten weiterhin im Zielsystem geändert, was zu Abweichungen der Benutzerkonteneigenschaften und Identitäteneigenschaften führen kann. Aus diesem Grund sollen vorübergehend die durch eine erneute Synchronisation eingelesenen Änderungen von Benutzerkonten an die bereits erzeugten Identitäten publiziert werden. Damit führt die Inbetriebnahme der Benutzerkontenverwaltung über den One Identity Manager nicht zu Datenverlusten.

Um Identitäten bei Änderungen von Benutzerkonten zu aktualisieren

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | AzureAD | PersonUpdate.

Während der Synchronisation werden die Änderungen der Benutzerkonten in den One Identity Manager eingelesen. Durch anschließende Skript- und Prozessverarbeitung werden diese Änderungen an die verbundenen Identitäten weitergereicht.

HINWEIS:

  • Die Aktualisierung der Identitäten bei Änderungen von Benutzerkonten erfolgt nur für Benutzerkonten, die den Automatisierungsgrad Unmanaged besitzen und mit einer Identität verbunden sind.

  • Es wird nur die Identität aktualisiert, die aus dem geänderten Benutzerkonto erzeugt wurde. Die Datenquelle, aus der eine Identität erzeugt wurde, wird über die Eigenschaft Datenquelle Import der Identität angezeigt. Sind der Identität weitere Benutzerkonten zugeordnet, dann führen Änderungen dieser Benutzerkonten nicht zur Aktualisierung der Identität.

  • Bei Identitäten, bei denen die Eigenschaft Datenquelle Import noch nicht gesetzt ist, wird während der ersten Aktualisierung des verbundenen Benutzerkontos das Zielsystem des Benutzerkontos als Datenquelle für den Import eingetragen.

Das Mapping von Benutzerkontoeigenschaften auf Identitäteneigenschaften erfolgt über das Skript AAD_PersonUpdate_AADUser. Um das Mapping einfacher anzupassen, ist das Skript als überschreibbar definiert.

Für unternehmensspezifische Anpassungen, erzeugen Sie eine Kopie des Skriptes und beginnen Sie den Skriptcode folgendermaßen:

Public Overrides Function AAD_PersonUpdate_AADUser (ByVal UID_Account As String, oldUserPrincipalName As String, ProcID As String)

Damit wird das Skript neu definiert und überschreibt das originale Skript. Eine Anpassung der Prozesse ist in diesem Fall nicht erforderlich.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating