Chat now with support
Chat with Support

Identity Manager 9.1.2 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Anwendungsrollen für IT Shop

HINWEIS: Diese Anwendungsrollen stehen zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Für die Verwaltung des IT Shop sind folgende Anwendungsrollen verfügbar.

Tabelle 11: Anwendungsrollen für IT Shop
Anwendungsrolle Beschreibung

Administratoren

Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Erstellen die IT Shop-Struktur mit Shops, Regalen, Kunden, Vorlagen und dem Servicekatalog.

  • Erstellen die Entscheidungsrichtlinien und Entscheidungsworkflows.

  • Legen fest, nach welchen Entscheidungsverfahren die Entscheider ermittelt werden.

  • Erstellen die Produkte und Leistungspositionen.

  • Richten die Benachrichtigungen für Bestellvorgänge ein.

  • Überwachen die Bestellvorgänge.

  • Administrieren die Anwendungsrollen für Produkteigner und Attestierer.

  • Pflegen die Mitglieder der zentralen Entscheidergruppe.

  • Richten bei Bedarf weitere Anwendungsrollen ein.

  • Erstellen Zusatzeigenschaften für beliebige Unternehmensressourcen.

  • Bearbeiten Ressourcen und weisen diese an IT Shop-Strukturen zu.

  • Weisen Systemberechtigungen an IT Shop-Strukturen zu.

Produkteigner

Die Produkteigner müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Entscheiden über Bestellungen.

  • Bearbeiten die Leistungspositionen und Servicekategorien, für die sie verantwortlich sind.

Attestierer

Die Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Attestieren die korrekte Zuweisung von Unternehmensressourcen an die IT Shop-Strukturen, für die sie verantwortlich sind.

  • Attestieren Objekte, denen Leistungspositionen zugeordnet sind.

  • Können die Stammdaten der IT Shop-Strukturen sehen, aber nicht bearbeiten.

HINWEIS: Diese Anwendungsrolle steht zur Verfügung, wenn das Modul Attestierung vorhanden ist.

Zentrale Entscheidergruppe

Die zentralen Entscheider müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Zentrale Entscheidergruppe zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Entscheiden über Bestellungen.
  • Weisen Bestellungen anderen Entscheidern zu.

HINWEIS: Die verantwortlichen Genehmiger werden über Entscheidungsverfahren ermittelt. Hierbei können weitere Anwendungsrollen zum Einsatz kommen. Die Anwendungsrollen für Genehmiger sind in verschiedenen Modulen definiert und stehen dort zur Verfügung.

Anwendungsrollen für Zielsysteme

HINWEIS: Die Anwendungsrollen sind abhängig vom Zielsystem und sind in den One Identity Manager Modulen enthalten. Die Anwendungsrollen stehen erst zur Verfügung, wenn die Module installiert sind.

Für die Verwaltung der Zielsysteme sind folgende Anwendungsrollen verfügbar.

Tabelle 12: Anwendungsrollen für Zielsysteme
Anwendungsrolle Aufgaben

Administratoren

Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.

  • Legen die Zielsystemverantwortlichen fest.

  • Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.

  • Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.

  • Berechtigen weitere Personen als Zielsystemadministratoren.

  • Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme.

Zielsystemverantwortliche

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | <Zielsystem> oder einer untergeordneten Anwendungsrolle zugewiesen sein.

HINWEIS: Pro Zielsystem gibt es mindestens eine Standardanwendungsrolle für Zielsystemverantwortliche. Diese Anwendungsrolle stehen zur Verfügung, wenn das Modul für das Zielsystem vorhanden ist.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das Zielsystem.

  • Erzeugen, ändern oder löschen die Zielsystemobjekte.

  • Bearbeiten Kennwortrichtlinien für das Zielsystem.

  • Bereiten Systemberechtigungen zur Aufnahme in den IT Shop vor.

  • Können Personen anlegen, die eine andere Identität haben als den Identitätstyp Primäre Identität.

  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.

  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.

Zielsystemverantwortliche für den Unified Namespace

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Unified Namespace oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Erhalten eine zielsystemübergreifende Sicht auf die Objekte der angeschlossenen Zielsysteme.

  • Können zielsystemübergreifende Berichte erstellen.

Sind die Benutzer gleichzeitig Zielsystemverantwortliche der zugrunde liegenden Zielsysteme, können sie diese Zielsysteme über den Unified Namespace verwalten.

Anwendungsrollen für das Universal Cloud Interface

HINWEIS: Die Anwendungsrollen stehen zur Verfügung, wenn das Modul Universal Cloud Interface installiert ist.

Für die Verwaltung von Cloud-Zielsystemen sind folgende Anwendungsrollen verfügbar.

Tabelle 13: Anwendungsrollen für das Universal Cloud Interface
Anwendungsrolle Aufgaben

Cloud-Administratoren

Die Cloud-Administratoren müssen der Anwendungsrolle Universal Cloud Interface | Administratoren oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für das Universal Cloud Interface.

  • Richten bei Bedarf weitere Anwendungsrollen ein.

  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Cloud-Anwendung und One Identity Manager.

  • Bearbeiten im Manager die Cloud-Anwendungen.

  • Bearbeiten offene, manuelle Provisionierungsvorgänge im Web Portal und erhalten Statistiken.

  • Erhalten im Web Portal und im Manager Informationen über die Cloud-Objekte.

Cloud-Operatoren

Die Cloud-Operatoren müssen der Anwendungsrolle Universal Cloud Interface | Operatoren oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Bearbeiten offene manuelle Provisionierungsvorgänge im Web Portal und erhalten Statistiken.

Cloud-Auditoren

Die Cloud-Auditoren müssen der Anwendungsrolle Universal Cloud Interface | Auditoren oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Sehen manuelle Provisionierungsvorgänge im Web Portal und erhalten Statistiken.

Anwendungsrolle für Privileged Account Governance

HINWEIS: Diese Anwendungsrolle steht zur Verfügung, wenn das Privileged Account Governance Modul vorhanden ist.

Für die Verwaltung der Asset- und Konteneigentümer ist folgende Anwendungsrolle verfügbar.

Tabelle 14: Anwendungsrollen für Privileged Account Governance
Anwendungsrolle Beschreibung

Asset- und Konteneigentümer

Die Eigentümer privilegierter Objekte wie PAM Assets, PAM Assetkonten, PAM Verzeichniskonten, PAM Assetgruppen und PAM Kontogruppen müssen einer Anwendungsrolle unter der Anwendungsrolle Privileged Account Governance | Asset- und Konteneigentümer zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Entscheiden über die Bestellung von Zugriffsanforderungen für privilegierte Objekte.

  • Attestieren den möglichen Zugriff von Benutzern auf diese privilegierten Objekte.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating