Zuweisungsbestellungen erzeugen
Zuweisungsbestellungen können für bestehende Zuweisungen von Unternehmensressourcen an hierarchische Rollen und für Mitgliedschaften von Identitäten, Geräten oder Arbeitsplätzen in hierarchischen Rollen erzeugt werden. Dafür stehen die folgenden Methoden zur Verfügung.
Tabelle 22: Methoden zur Umwandlung von Direktzuweisungen in Zuweisungsbestellungen
CreateITShopOrder (string uidOrgProduct, string uidPersonOrdered, string CustomScriptName) |
Erzeugt aus einer Zuweisung oder einer Mitgliedschaft eine Zuweisungsbestellung. Diese Methode kann auch auf Tabellen angewendet werden, über die keine UID_Person ermittelt werden kann. |
CreateITShopOrder (string uidOrgProduct, string uidWorkdeskOrdered, string uidPersonOrdered, string CustomScriptName) |
Erzeugt aus einer Zuweisung oder einer Mitgliedschaft eine Zuweisungsbestellung und speichert am Bestellvorgang zusätzlich eine UID_WorkdeskOrdered. |
Damit die Bestellungen erzeugt werden können, muss der IT Shop entsprechend vorbereitet sein.
Um Zuweisungsbestellungen aus Direktzuweisungen an hierarchische Rollen und Rollenmitgliedschaften zu erzeugen
-
Wählen Sie eine Zuweisungsressource aus dem Regal IT Shop > Identity & Access Lifecycle > Regal: Identity Lifecycle aus.
-
Wählen Sie eine Identität aus dem Kundenknoten des Shops IT Shop > Identity & Access Lifecycle als Besteller für die Zuweisungsbestellung aus.
-
(Optional) Erstellen Sie ein Skript, das weitere Eigenschaften der Bestellungen besetzt.
-
Erstellen Sie ein Skript, das die Methode CreateITShopOrder (string uidOrgProduct, string uidPersonOrdered, string CustomScriptName) für die betroffenen Tabellen ausführt.
Der One Identity Manager erzeugt folgendermaßen die Zuweisungsbestellungen aus vorhandenen Zuweisungen an hierarchische Rollen:
-
Ermitteln der hierarchischen Rollen und ihrer zugewiesenen Unternehmensressourcen oder Mitglieder (Identitäten, Geräte oder Arbeitsplätze).
-
Ermitteln des Bestellers aus dem Parameter uidPersonOrdered.
-
Ermitteln der Zuweisungsressource aus dem Parameter uidOrgProduct.
-
Ermitteln des Shops, dem die Zuweisungsressource und der Besteller zugewiesen sind.
- Erzeugen der Bestellungen mit initialen Daten.
- Ausführen kundenspezifischer Skripte.
- Speichern der Bestellungen (Eintrag in Tabelle PersonWantsOrg).
-
Umwandeln der direkten Zuweisungen der Unternehmensressourcen an die hierarchischen Rollen in indirekte Zuweisungen (zum Beispiel in der Tabelle DepartmentHasQERResource). Umwandeln der direkten Mitgliedschaften in den hierarchischen Rollen in indirekte Mitgliedschaften (zum Beispiel in der Tabelle PersonInDepartment).
Soll die Zuweisungsbestellung für einen Arbeitsplatz erzeugt werden, übergeben Sie der Methode zusätzlich die UID_WorkDesk des Arbeitsplatzes als Parameter uidWorkdeskOrdered. Die Methode speichert diese UID als UID_WorkdeskOrdered in der Bestellung (Tabelle PersonWantsOrg).
Detaillierte Informationen zum Thema
Verwandte Themen
Systemberechtigungen automatisch in den IT Shop aufnehmen
Mit den folgenden Schritten können Systemberechtigungen automatisch in den IT Shop aufgenommen werden. Die Synchronisation sorgt dafür, dass die Systemberechtigungen in den IT Shop aufgenommen werden. Bei Bedarf können Sie die Synchronisation im Synchronization Editor sofort starten. Systemberechtigungen, die im One Identity Manager neu erstellt werden, werden ebenfalls automatisch in den IT Shop aufgenommen.
Um Systemberechtigungen automatisch in den IT Shop aufzunehmen
-
Abhängig von den vorhandenen Modulen, aktivieren Sie im Designer die Konfigurationsparameter für die automatische Aufnahme von Systemberechtigungen in den IT Shop.
Beispiel: QER | ITShop | AutoPublish | ADSGroup und QER | ITShop | AutoPublish | ADSGroup | ExcludeList
-
Für unwirksame Azure Active Directory Dienstpläne:
QER | ITShop | AutoPublish | AADDeniedServicePlan
QER | ITShop | AutoPublish | AADDeniedServicePlan | ExcludeList
-
Für Azure Active Directory Gruppen:
QER | ITShop | AutoPublish | AADGroup
QER | ITShop | AutoPublish | AADGroup | ExcludeList
-
Für Azure Active Directory Abonnements:
QER | ITShop | AutoPublish | AADSubSku
QER | ITShop | AutoPublish | AADSubSku | ExcludeList
-
Für Active Directory Gruppen:
QER | ITShop | AutoPublish | ADSGroup
QER | ITShop | AutoPublish | ADSGroup | ExcludeList
QER | ITShop | AutoPublish | ADSGroup | AutoFillDisplayName
Wenn Self-Service Manager eingesetzt wird:
TargetSystem | ADS | ARS_SSM
-
Für Exchange Online E-Mail-aktivierte Verteilergruppen
QER | ITShop | AutoPublish | O3EDL
QER | ITShop | AutoPublish | O3EDL | ExcludeList
-
Für Office 365 Gruppen:
QER | ITShop | AutoPublish | O3EUnifiedGroup
QER | ITShop | AutoPublish | O3EUnifiedGroup | ExcludeList
-
Für Microsoft Teams Teams:
QER | ITShop | AutoPublish | O3TTeam
QER | ITShop | AutoPublish | O3TTeam | ExcludeList
-
Für PAM Benutzergruppen:
QER | ITShop | AutoPublish | PAGUsrGroup
QER | ITShop | AutoPublish | PAGUsrGroup | ExcludeList
-
Für SharePoint Gruppen:
QER | ITShop | AutoPublish | SPSGroup
QER | ITShop | AutoPublish | SPSGroup | ExcludeList
-
Für OneLogin Rollen
QER | ITShop | AutoPublish | OLGRole
QER | ITShop | AutoPublish | OLGRole | ExcludeList
-
Kompilieren Sie die Datenbank.
Die Systemberechtigungen werden ab diesem Zeitpunkt automatisch in den IT Shop aufgenommen.
Folgende Schritte werden bei der Aufnahme einer Systemberechtigung in den IT Shop automatisch ausgeführt.
-
Es wird eine Leistungsposition für die Systemberechtigung ermittelt.
Für jede Systemberechtigung wird die Leistungsposition geprüft und bei Bedarf angepasst. Die Bezeichnung der Leistungsposition entspricht der Bezeichnung der Systemberechtigung.
-
Die Leistungsposition wird einer der Standard-Servicekategorien zugeordnet.
-
Es wird eine Anwendungsrolle für Produkteigner ermittelt und der Leistungsposition zugeordnet. Ausführliche Informationen dazu finden Sie im jeweiligen Administrationshandbuch für die Anbindung einer Zielsystemumgebung.
Die Produkteigner können Bestellungen von Mitgliedschaften in diesen Systemberechtigungen genehmigen.
-
Die Systemberechtigung wird mit der Option IT Shop gekennzeichnet und dem entsprechenden IT Shop Regal im Shop Identity & Access Lifecycle zugewiesen.
Anschließend können die Kunden des Shops Mitgliedschaften in Systemberechtigungen über das Web Portal bestellen.
HINWEIS: Wenn eine Systemberechtigung endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.
Verwandte Themen
Ungenutzte Anwendungsrollen für Produkteigner löschen
Da bei der automatischen Übernahme von Gruppen in den IT Shop für jeden Kontomanager einer Gruppe eine eigene Anwendungsrolle angelegt wird, wird die Liste der Anwendungsrollen für Produkteigner schnell unübersichtlich. Wenn Gruppen gelöscht werden, werden diese Anwendungsrollen gegebenenfalls nicht mehr benötigt.
Nicht benötigte Anwendungsrollen für Produkteigner können über einen zeitgesteuerten Prozessauftrag gelöscht werden. Dabei werden alle Anwendungsrollen aus der Datenbank gelöscht, für die Folgendes gilt:
-
Die übergeordnete Anwendungsrolle ist Request & Fulfillment | IT Shop | Produkteigner.
-
Die Anwendungsrolle ist keiner Leistungsposition zugeordnet.
-
Die Anwendungsrolle ist keiner Servicekategorie zugeordnet.
-
Die Anwendungsrolle hat keine Mitglieder.
Um nicht benötigte Anwendungsrollen mit Mitgliedern anzuzeigen
Um Anwendungsrollen automatisiert zu löschen
HINWEIS: Wenn Sie unterhalb der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner eigene Anwendungsrollen eingerichtet haben, die Sie für kundenspezifische Anwendungsfälle (Tabellen) nutzen, dann prüfen Sie, ob diese automatisch gelöscht werden dürfen. Andernfalls deaktivieren Sie den Zeitplan Bereinigen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner.
Verwandte Themen
Genehmigungsverfahren für IT Shop-Bestellungen
Alle Bestellungen im IT Shop durchlaufen ein definiertes Genehmigungsverfahren. Während dieses Genehmigungsverfahrens entscheiden autorisierte Identitäten positiv oder negativ über die Zuweisung des Produktes. Diese Genehmigungsverfahren können Sie variabel gestalten und somit an Ihre unternehmensspezifischen Richtlinien anpassen.
Für Genehmigungsverfahren definieren Sie Entscheidungsrichtlinien und Entscheidungsworkflows. In Entscheidungsrichtlinien legen Sie fest, welche Entscheidungsworkflows auf eine Bestellung angewendet werden sollen. Über Entscheidungsworkflows ermitteln Sie, welche Identität, zu welchem Zeitpunkt einer Bestellung die Bestellung genehmigen oder ablehnen kann. Ein Entscheidungsworkflow kann mehrere Entscheidungsebenen und diese mehrere Entscheidungsschritte enthalten, wenn beispielsweise mehrere Hierarchien der Leitungsebene über eine Bestellung entscheiden müssen. In jedem Entscheidungsschritt werden über spezielle Entscheidungsverfahren die verantwortlichen Entscheider ermittelt.
In der Standardinstallation sind dem Shop Identity & Access Lifecycle verschiedene Standard-Entscheidungsrichtlinien zugewiesen. Damit durchlaufen die Bestellungen aus diesem Shop vordefinierte Genehmigungsverfahren. Sollen Bestellungen aus diesem Shop kundenspezifische Genehmigungsverfahren durchlaufen, weisen Sie dem Shop, dem Regal oder den Leistungspositionen des Regals Identity & Access Lifecycle kundenspezifische Entscheidungsrichtlinien zu.
Detaillierte Informationen zum Thema