Um zu verhindern, dass Identitäten, Geräte oder Arbeitsplätze gleichzeitig an verschiedene Rollen zugewiesen werden und über diese Rollen sich ausschließende Unternehmensressourcen erhalten könnten, können Sie widersprechende Rollen definieren. Dabei legen Sie fest, welche Abteilungen, Kostenstellen oder Standorte sich gegenseitig ausschließen. Sie dürfen diese Rollen dann nicht mehr an ein und dieselbe Identität (Gerät, Arbeitsplatz) zuweisen.
HINWEIS: Nur Rollen, die direkt als widersprechende Rollen definiert sind, können nicht an ein und dieselbe Identität (Gerät, Arbeitsplatz) zugewiesen werden. Festlegungen an übergeordneten oder untergeordneten Rollen haben keinen Einfluss auf die Zuweisung.
Beispiel:
An der Kostenstelle A wurde Kostenstelle B als widersprechende Kostenstelle eingetragen. Jenna Miller und Hans Peter sind Mitglied der Kostenstelle A. Lotte Louise ist Mitglied der Kostenstelle B. Hans Peter kann nicht an Kostenstelle B zugewiesen werden. Der One Identity Manager verhindert außerdem, dass Jenna Miller an Kostenstelle B und Lotte Louise an Kostenstelle A zugewiesen wird.
Abbildung 12: Mitgliedschaften in sich widersprechenden Rollen
Um den Vererbungsausschluss zu konfigurieren
Verwandte Themen
Dynamische Rollen werden eingesetzt, um Mitgliedschaften für Abteilungen, Kostenstellen, Standort, Geschäftsrollen, Anwendungsrollen und IT Shop Knoten dynamisch festzulegen. Dabei werden Identitäten, Geräte oder Arbeitsplätze nicht fest an diese Rollen zugewiesen, sondern nur dann, wenn sie bestimmte Bedingungen erfüllen. Welche Identitäten (Geräte oder Arbeitsplätze) diese Bedingungen erfüllen, wird regelmäßig überprüft. Dadurch ändern sich die Rollenmitgliedschaften dynamisch. So können beispielsweise Unternehmensressourcen an alle Identitäten einer Abteilung zugewiesen werden; verlässt eine Identität diese Abteilung verliert sie sofort die zugewiesenen Unternehmensressourcen.
Beispiel: Funktion dynamischer Rollen
In einer neu angelegten dynamischen Rolle werden alle externen Identitäten zusammengefasst. Diesen Identitäten soll eine Unternehmensressource ABC zugewiesen werden. Zunächst wird die dynamische Rolle mit folgenden Angaben definiert:
Dynamische Rolle |
Externe Identitäten |
Beschreibung |
Alle externen Identitäten |
Objektklasse |
Identität |
Bedingung |
IsExternal = 1 |
Abteilung |
A_1 |
Der Abteilung A_1 wird nun die Ressource ABC zugewiesen. Alle Identitäten, die zum Zeitpunkt der Definition der dynamischen Rolle die Bedingung erfüllen, werden der Abteilung A_1 zugeordnet und erben von ihr die Ressource ABC. Erfüllen zu einem späteren Zeitpunkt weitere Identitäten die Bedingung, so werden diese Identitäten ab dem Moment in die Abteilung A_1 aufgenommen. Umgekehrt gilt jedoch auch, dass Identitäten aus der Abteilung A_1 entfernt werden, sobald sie im One Identity Manager nicht mehr als externe Identitäten bekannt sind. Sofern den Identitäten die Ressource ABC nicht noch über einen anderen Weg zugewiesen wurde, ist die Ressource ab diesem Zeitpunkt nicht mehr verfügbar.
Rollenmitgliedschaften über dynamische Rollen werden als indirekte, sekundäre Zuweisung realisiert. Daher muss die sekundäre Zuweisung von Identitäten, Geräten und Arbeitsplätzen an den Rollenklassen zugelassen sein. Gegebenenfalls müssen Sie dazu weitere Konfigurationseinstellungen vornehmen.
Identitäten können aufgrund einer abgelehnten Attestierung oder einer Regelverletzung automatisch aus dynamischen Rollen ausgeschlossen werden. Dafür wird eine Ausschlussliste geführt. Zusätzlich können Ausschlüsse auch direkt für einzelne Identitäten definiert werden. Identitäten können zusätzlich auch direkt oder durch eine Zuweisungsbestellung oder Delegierung Mitglied der Rolle werden. Diese Mitgliedschaften werden durch die Ausschlussliste nicht eingeschränkt.
Ausführliche Informationen zum automatischen Ausschluss bei abgelehnter Attestierung finden Sie im One Identity Manager Administrationshandbuch für Attestierungen. Ausführliche Informationen zum automatischen Ausschluss bei einer Regelverletzung finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.
Detaillierte Informationen zum Thema
Verwandte Themen
Dynamische Rollen können Sie für Abteilungen, Kostenstellen, Standort, Geschäftsrollen, Anwendungsrollen und IT Shop Knoten erstellen. Damit können Sie Mitgliedschaften in diesen Rollen dynamisch festlegen.
Um eine dynamische Rolle zu erstellen
-
Wählen Sie im Manager die Rolle, für die eine dynamische Rolle erstellt werden soll.
-
Wählen Sie die Aufgabe Dynamische Rolle erstellen.
-
Erfassen Sie die erforderlichen Stammdaten.
- Speichern Sie die Änderungen.
Um eine dynamische Rolle zu bearbeiten
-
Wählen Sie im Manager die Rolle, für die eine dynamische Rolle erstellt wurde.
-
Öffnen Sie das Überblicksformular für diese Rolle.
-
Wählen Sie das Formularelement Dynamische Rollen und klicken Sie auf die dynamische Rolle.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Bearbeiten Sie die Daten und speichern Sie anschließend die Änderungen.
Verwandte Themen
WICHTIG: Umfasst die Bedingung eine große Anzahl zuzuordnender Objekte, kann bei der Berechnung der Mitgliedschaften eine hohe Last im DBQueue Prozessor und damit auf dem Datenbankserver erzeugt werden.
Die Bedingung einer dynamischen Rolle wird als gültige Where–Klausel für Datenbankabfragen definiert und muss sich auf die gewählte Objektklasse Identität, Geräte oder Arbeitsplatz beziehen.
Sie haben im Manager verschiedene Möglichkeiten die Bedingungen zu erstellen:
-
Die Bedingung können Sie direkt als SQL-Abfrage eingeben.
-
Sie können zum Erstellen der Bedingungen den Where-Klausel Assistenten nutzen.
-
Bedingungen für Identitäten können Sie alternativ über den Filterdesigner zusammenstellen.
HINWEIS: Wenn Sie im Filterdesigner den Bedingungstyp Für das Konto mit dem Zielsystemtyp oder Für die Berechtigung mit dem Zielsystemtyp wählen, können nur Spalten ausgewählt werden, die im Unified Namespace abgebildet sind und für die die Spalteneigenschaft Anzeige im Filterdesigner aktiviert ist.
Über die Variable @UID_Org können Sie auf die Rolle oder die Organisation zugreifen, auf welche die dynamische Rolle verweist.
Beispiel:
Die Bedingung für die dynamische Rolle für Identitäten soll nur wirken, wenn der Standort der Identität (Person.UID_Locality) und der Standort der zugeordnete Rolle oder Organisation (BaseTree.UID.UID_OrgLocality) übereinstimmen.
Ergänzung der Where-Klausel:
...
and uid_locality = (select b.UID_OrgLocality from BaseTree b where b.UID_Org = @UID_Org)
Beispiel:
Die Bedingung für die dynamische Rolle für Identitäten soll nur wirken, solange die zugeordnete Rolle oder Organisation eine bestimmte Eigenschaft hat.
Ergänzung der Where-Klausel:
...
and exists (select top 1 1
from BaseTree b
where b.UID_Org = @UID_Org
and b.CustomProperty01 = '123'
)
HINWEIS: Wenn Sie Kommentare in die Bedingung einfügen und die Kommentarzeichen --, // oder % verwenden, kann der DBQueue Prozessor die dynamische Rolle nicht korrekt berechnen. Die Berechnung wird mit einem Fehler abgebrochen. Schließen Sie Kommentare immer mit den Kommentarzeichen /* ... */ ein.
Verwandte Themen