Chat now with support
Chat with Support

Identity Manager 9.1.2 - Administrationshandbuch für das Identity Management Basismodul

Grundlagen zur Abbildung von Unternehmensstrukturen im One Identity Manager Dynamische Rollen Abteilungen, Kostenstellen und Standorte
One Identity Manager Benutzer für die Verwaltung von Abteilungen, Kostenstellen und Standorten Basisdaten für Abteilungen, Kostenstellen und Standorte Abteilungen erstellen und bearbeiten Kostenstellen erstellen und bearbeiten Standorte erstellen und bearbeiten IT Betriebsdaten für Abteilungen, Kostenstellen und Standorte einrichten Personen, Geräte und Arbeitsplätze an Abteilungen, Kostenstellen und Standorte zuweisen Unternehmensressourcen an Abteilungen, Kostenstellen und Standorte zuweisen Dynamische Rollen für Abteilungen, Kostenstellen und Standorte erstellen und bearbeiten Dynamische Rollen mit fehlerhaft ausgeschlossenen Personen Organisationen zuweisen Vererbungsausschluss für Abteilungen, Kostenstellen und Standorte festlegen Zusatzeigenschaften an Abteilungen, Kostenstellen und Standorte zuweisen Zertifizierung von Abteilungen, Kostenstellen und Standorten Berichte über Abteilungen, Kostenstellen und Standorte
Personen verwalten
One Identity Manager Benutzer für die Personenverwaltung Basisdaten für Personenstammdaten Zentrales Benutzerkonto einer Person Standard-E-Mail-Adresse einer Person Zentrales Kennwort einer Person Abbildung mehrerer Identitäten einer Person Kennwortrichtlinien für Personen Personen erstellen und bearbeiten Deaktivieren und Löschen von Personen Löschen aller personenbezogenen Daten Eingeschränkter Zugang zum One Identity Manager Zertifizierungsstatus von Personen ändern Unternehmensressourcen an Personen zuweisen Herkunft von Rollen und Berechtigungen von Personen anzeigen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen Überblick über Personen anzeigen Webauthn-Sicherheitsschlüssel von Personen anzeigen und löschen Ermitteln der Sprache für Personen Ermitteln der Arbeitszeiten für Personen Benutzerkonten manuell an Personen zuweisen Calls für Personen erfassen Zusatzeigenschaften an Personen zuweisen Berichte über Personen
Geräte und Arbeitsplätze verwalten
Basisdaten für die Geräteverwaltung Geräte erstellen und bearbeiten Unternehmensressourcen an Geräte zuweisen Überblick über Geräte anzeigen Servicevereinbarungen an Geräte zuweisen und Calls erfassen Arbeitsplätze erstellen und bearbeiten Unternehmensressourcen an Arbeitsplätze zuweisen Überblick über Arbeitsplätze anzeigen Geräte an Arbeitsplätze zuweisen Arbeitsplätze an Personen zuweisen Calls für Arbeitsplätze erfassen Anlageinformationen für Geräte
Ressourcen verwalten Zusatzeigenschaften einrichten Konfigurationsparameter für die Verwaltung von Abteilungen, Kostenstellen und Standorten Konfigurationsparameter für die Verwaltung von Personen Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen

Berechnung der Vererbung über hierarchische Rollen

Personen, Geräte und Arbeitsplätze können nur Mitglieder in Rollen werden, die auf der Tabelle BaseTree aufbauen. Diese Rollen werden in Sichten (Views) abgebildet, die jeweils einen bestimmten Teilausschnitt der Tabelle BaseTree repräsentieren. Zur Abbildung von Unternehmensstrukturen enthält das Datenmodell des One Identity Manager die folgenden Sichten:

Tabelle 2: Sichten auf die Tabelle BaseTree
Sicht Bedeutung

Department

Abbildung von Abteilungen

Locality

Abbildung von Standorten

Profitcenter

Abbildung von Kostenstellen

Org

Abbildung von Geschäftsrollen

AERole

Abbildung von Anwendungsrollen

HINWEIS: Da die Sichten Teilausschnitte der Tabelle BaseTree sind, gelten alle nachfolgend beschriebenen Vererbungsmechanismen ebenso für die Sichten.

Vererbungen gehen von der Tabelle BaseTree aus. Die Tabelle BaseTree kann über die Beziehung UID_Org - UID_ParentOrg beliebig viele Rollenhierarchien abbilden. Diese werden in der Tabelle BaseTreeCollection abgelegt. Dabei werden alle Rollen aufgezählt, von denen die angegebene Rolle erbt. Entsprechend ihrer Teilausschnitte aus der Tabelle BaseTree gibt es für jede Sicht eine entsprechend benannte *Collection-Tabelle mit dem Teilausschnitt der Rollenhierarchie.

In der Tabelle BaseTreeCollection gilt folgende Beziehung:

  • UID_Org ist die Rolle, die erbt.

  • UID_ParentOrg ist die Rolle, die vererbt.

Dieses Prinzip gilt auch bei Bottom-Up-Bäumen, die von unten nach oben vererben, auch wenn scheinbar die Eltern-Beziehung aus der BaseTree-Tabelle umgekehrt wird.

Jede Rolle erbt auch von sich selbst.

Jede Rolle einer Rollenhierarchie muss einen Bezug zur Tabelle OrgRoot (Rollenklassen) haben. OrgRoot ist die Klammer für Rollenhierarchien. Eine Rollenhierarchie wird immer nur für eine Rollenklasse gebildet. Rollen aus verschiedenen Rollenklassen dürfen nicht in ein und derselben Rollenhierarchie vorkommen oder per Eltern-Kind-Beziehung aufeinander verweisen.

Abbildung 11: Darstellung einer hierarchischen Rollenstruktur am Beispiel einer OrgCollection

Eine Rolle erbt alles, was ihren Eltern in der Rollenhierarchie zugewiesen wurde, einschließlich dem, was ihr selbst zugewiesen wurde. Ändert sich die Menge der Rollen, von denen eine Rolle etwas erbt, so wird für alle Mitglieder dieser Rolle eine Neuberechnung der zugeordneten Objekte veranlasst. Ändert sich die Menge von zugeordneten Objekten eines Objekttyps zu einer Rolle, so wird für alle Mitglieder der Rolle eine Neuberechnung der zugeordneten Objekte dieses Objekttyps veranlasst. Wird also beispielsweise Software an eine übergeordnete Rolle zugewiesen, werden die Mitglieder der Tabelle BaseTreeHasApp neu berechnet.

Die Mitglieder einer Rolle erben nach definierten Regeln alle Zuweisungen über die primären und sekundären Rollenstrukturen, denen Sie laut der Tabelle BaseTree angehören sowie den Vorgängerstrukturen laut der Tabelle BaseTreeCollection.

Berechnung der Zuweisungen

Bei der Berechnung der Vererbung erfolgt für jede Zuweisung ein Eintrag in die entsprechende Zuweisungstabelle. Jede Tabelle, in der Zuweisungen abgebildet werden, hat eine Spalte XOrigin. In dieser Spalte wird die Herkunft einer Zuweisung als Verknüpfung von Bit-Positionen abgelegt. Bei jedem Eintrag in die Zuweisungstabelle erfolgt entsprechend der Zuweisungsart eine Änderung der Bit-Positionen. Jede Zuweisungsart ändert dabei nur die für sie vorgesehene Bit-Position.

Es bedeuten:

  • Bit 0: Die Zuweisung wurde direkt vorgenommen.

  • Bit 1: Die Zuweisung wurde indirekt vorgenommen, jedoch nicht über eine dynamischen Rolle.

  • Bit 2: Die Zuweisung erfolgte über eine dynamische Rolle.

  • Bit 3: Die Zuweisung erfolgte über eine Zuweisungsbestellung.

  • Bit 4: Das Bit wird modulspezifisch unterschiedlich verwendet. Ausführliche Informationen finden Sie in den Administrationshandbüchern der Module, in denen das Bit genutzt wird.

Tabelle 3: Mögliche Werte der Spalte XOrigin

Bit 3

Bit 2

Bit 1

Bit 0

Wert in XOrigin

Bedeutung

0

0

0

1

1

Nur direkt zugewiesen.

0

0

1

0

2

Nur indirekt zugewiesen.

0

0

1

1

3

Direkt und indirekt zugewiesen.

0

1

0

0

4

Über dynamische Rolle zugewiesen.

0

1

0

1

5

Über dynamische Rolle und direkt zugewiesen.

0

1

1

0

6

Über dynamische Rolle und indirekt zugewiesen.

0

1

1

1

7

Über dynamische Rolle, direkt und indirekt zugewiesen.

1

0

0

0

8

Zuweisungsbestellung.

1

0

0

1

9

Zuweisungsbestellung und direkt zugewiesen.

1

0

1

0

10

Zuweisungsbestellung und indirekt zugewiesen.

1

0

1

1

11

Zuweisungsbestellung, direkt und indirekt zugewiesen.

1

1

0

0

12

Zuweisungsbestellung und über dynamische Rolle zugewiesen.

1

1

0

1

13

Zuweisungsbestellung, direkt und über dynamische Rolle zugewiesen.

1

1

1

0

14

Zuweisungsbestellung, indirekt und über dynamische Rolle zugewiesen.

1

1

1

1

15

Zuweisungsbestellung, direkt, indirekt und über dynamische Rolle zugewiesen.

Besonderheiten bei Vererbung von Zuweisungen über Rollenhierarchie

HINWEIS: Wenn eine Zuweisung über die Rollenhierarchie vererbt wird, wird an der geerbten Zuweisung das Bit 1 gesetzt. Geerbte Zuweisungen sind folglich immer indirekt zugewiesen, auch wenn sie ursprünglich direkt, über eine dynamische Rolle oder eine Zuweisungsbestellung entstanden sind.

Beispiel:

Für den Standort "Europe" wurde die Zuweisung einer Active Directory Gruppe bestellt. Der untergeordnete Standort "Madrid" erbt diese Zuweisung. In der Tabelle LocalityHasADSGroup ist XOrigin folgendermaßen gesetzt:

  • Standort "Europe": XOrigin='8' (Zuweisungsbestellung)
  • Standort "Madrid": XOrigin='2' (indirekt zugewiesen)
Wirksamkeit von Zuweisungen

Ob eine Zuweisung wirksam ist, wird über die Spalte XIsInEffect abgebildet. Ist beispielsweise eine Person deaktiviert, zum Löschen markiert oder als sicherheitsgefährdend eingestuft, so kann für diese Person die Vererbung der Unternehmensressourcen unterbunden werden. Die Zuweisung der Gruppen bleibt erhalten, diese Zuweisung wird jedoch nicht wirksam.

Der DBQueue Prozessor überwacht die Änderung der Spalte XOrigin. Bei Änderung des Wertes in XOrigin wird die Spalte XIsInEffect neu berechnet.

Vorbereiten der hierarchische Rollen für die Zuweisung von Unternehmensressourcen

Der One Identity Manager liefert eine Konfiguration, die den sofortigen Einsatz von hierarchischen Rollen für Abteilungen, Kostenstellen, Standorte und Anwendungsrollen unterstützt. Abhängig von der Unternehmensstruktur, kann es jedoch erforderlich sein, zusätzliche Festlegungen für die Zuweisungen zu Rollen treffen.

Folgende Einstellungen sollten Sie vor der Zuweisung von Unternehmensressourcen prüfen und gegebenenfalls anpassen:

  • Legen Sie fest, ob und wie Personen, Geräte und Arbeitsplätze und Unternehmensressourcen an Rollen zugewiesen werden dürfen.

    Für Abteilungen, Kostenstellen, Standorte und Anwendungsrollen sind Zuweisungen von Personen, Geräten, Arbeitsplätzen und Unternehmensressourcen vordefiniert. Die Konfiguration für Zuweisungen zu Anwendungsrollen kann nicht geändert werden.

  • Legen Sie die Vererbungsrichtung innerhalb der Hierarchie fest.

    Für Abteilungen, Kostenstellen, Standorte und Anwendungsrollen ist eine Top-Down Vererbung definiert.

  • Schränken Sie bei Bedarf die Vererbung für bestimmte Rollen ein.

    Sie können für einzelne Rollen oder einzelne Personen, Geräte oder Arbeitsplätze festlegen, ob die Vererbung von Unternehmensressourcen verhindert werden soll.

  • Definieren Sie bei Bedarf Rollen, die sich gegenseitig ausschließen.

    Über die Festlegung sogenannter widersprechende Rollen verhindern Sie, dass Personen, Geräte oder Arbeitsplätze in Rollen aufgenommen werden, die sich ausschließende Unternehmensressourcen enthalten.

Detaillierte Informationen zum Thema

Mögliche Zuweisungen von Unternehmensressourcen über Rollen

Personen, Geräte und Arbeitsplätze können über indirekte Zuweisung Unternehmensressourcen erhalten. Dazu sind Personen, Geräte und Arbeitsplätze in beliebig viele Rollen eingeordnet. Über definierte Regeln erhalten die Personen, Geräte und Arbeitsplätze die entsprechenden Unternehmensressourcen.

Um Unternehmensressourcen an Rollen zuzuweisen, nutzen Sie die entsprechenden Aufgaben an den Rollen.

In der nachfolgenden Tabelle sind die möglichen Zuweisungen von Unternehmensressourcen an Personen, Geräte und Arbeitsplätze über Rollen dargestellt.

HINWEIS: Die Unternehmensressourcen sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.

Tabelle 4: Mögliche Zuweisungen von Unternehmensressourcen über Rollen
Zuweisbare Unternehmensressourcen Mitglieder in Rollen
Personen Arbeitsplätze

Ressourcen

möglich

-

Kontendefinitionen möglich  

Gruppen kundendefinierter Zielsysteme

möglich (Zuweisung an alle Benutzerkonten kundendefinierter Zielsysteme einer Person, für welche die Vererbung von Gruppen zugelassen ist)

-

Systemberechtigungen kundendefinierter Zielsysteme

möglich (Zuweisung an alle Benutzerkonten kundendefinierter Zielsysteme einer Person, für welche die Vererbung von Systemberechtigungen zugelassen ist)

-

Active Directory Gruppen

möglich (Zuweisung an alle Active Directory Benutzerkonten und Active Directory Kontakte einer Person, für welche die Vererbung von Active Directory Gruppen zugelassen ist)

-

SharePoint Gruppen

möglich (Zuweisung an alle SharePoint Benutzerkonten einer Person, für welche die Vererbung von SharePoint Gruppen zugelassen ist)

-

SharePoint Rollen

möglich (Zuweisung an alle SharePoint Benutzerkonten einer Person, für welche die Vererbung von SharePoint Rollen zugelassen ist)

-

LDAP Gruppen

möglich (Zuweisung an alle LDAP Benutzerkonten einer Person, für welche die Vererbung von LDAP Gruppen zugelassen ist)

-

Notes Gruppen

möglich (Zuweisung an alle Notes Benutzerkonten einer Person, für welche die Vererbung von Notes Gruppen zugelassen ist)

-

SAP Gruppen

möglich (Zuweisung an alle SAP Benutzerkonten einer Person, die im selben SAP Mandanten liegen und für welche die Vererbung von SAP Gruppen zugelassen ist)

-

SAP Profile

möglich (Zuweisung an alle SAP Benutzerkonten einer Person, die im selben SAP Mandanten liegen und für welche die Vererbung von SAP Profilen zugelassen ist)

-

SAP Rollen

möglich (Zuweisung an alle SAP Benutzerkonten einer Person, die im selben SAP Mandanten liegen und für welche die Vererbung von SAP Rollen zugelassen ist)

-

SAP Parameter

möglich (Zuweisung an alle SAP Benutzerkonten einer Person, die im selben SAP System liegen)

-

Strukturelle Profile

möglich (Zuweisung an alle SAP Benutzerkonten einer Person, die im selben SAP Mandanten liegen und für welche die Vererbung von strukturellen Profilen zugelassen ist)

-

BI Analyseberechtigungen

möglich (Zuweisung an alle BI Benutzerkonten einer Person, die im selben System liegen und für welche die Vererbung von Gruppen zugelassen ist)

-

Azure Active Directory Gruppen

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Person, für welche die Vererbung von Azure Active Directory Gruppen zugelassen ist)

-

Azure Active Directory Administratorrollen

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Person, für welche die Vererbung von Azure Active Directory Administratorrollen zugelassen ist)

-

Azure Active Directory Abonnements

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Person, für welche die Vererbung von Azure Active Directory Abonnements zugelassen ist)

-

Unwirksame Azure Active Directory Dienstpläne

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Person, für welche die Vererbung von unwirksamen Azure Active Directory Dienstplänen zugelassen ist)

-

Cloud Gruppen

möglich (Zuweisung an alle Cloud Benutzerkonten einer Person, für welche die Vererbung von Cloud Gruppen zugelassen ist)

-

Cloud Systemberechtigungen

möglich (Zuweisung an alle Cloud Benutzerkonten einer Person, für welche die Vererbung von Cloud Systemberechtigungen zugelassen ist)

-

Unix Gruppen

möglich (Zuweisung an alle Unix Benutzerkonten einer Person, für welche die Vererbung von Unix Gruppen zugelassen ist)

-

E-Business Suite Berechtigungen

möglich (Zuweisung an alle E-Business Suite Benutzerkonten einer Person, die im selben E-Business Suite System liegen und für welche die Vererbung von E-Business Suite Gruppen zugelassen ist)

-

PAM Benutzergruppen

möglich (Zuweisung an alle PAM Benutzerkonten einer Person, für welche die Vererbung von PAM Gruppen zugelassen ist)

-

Google Workspace Produkte und SKUs

möglich (Zuweisung an alle Google Workspace Benutzerkonten einer Person, die in der selben Kunden-Umgebung liegen und für welche die Vererbung von Google Workspace Produkten und SKUs zugelassen ist)

-

Google Workspace Gruppen

möglich (Zuweisung an alle Google Workspace Benutzerkonten einer Person, die in der selben Kunden-Umgebung liegen und für welche die Vererbung von Google Workspace Gruppen zugelassen ist)

-

SharePoint Online Gruppen

möglich (Zuweisung an alle SharePoint Online Benutzerkonten einer Person, für welche die Vererbung von SharePoint Online Gruppen zugelassen ist)

-

SharePoint Online Rollen

möglich (Zuweisung an alle SharePoint Online Benutzerkonten einer Person, für welche die Vererbung von SharePoint Online Rollen zugelassen ist)

-

Office 365 Gruppen

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Person, für welche die Vererbung von Office 365 Gruppen zugelassen ist)

-

Exchange Online E-Mail aktivierte Verteilergruppen

möglich (Zuweisung an alle an Exchange Online Postfächer, Exchange Online E-Mail Benutzer und Exchange Online E-Mail Kontakte einer Person, für welche die Vererbung von Exchange Online E-Mail aktivierten Verteilergruppen zugelassen ist)

-

Systemrollen

möglich

möglich

Abonnierbare Berichte

möglich

-

Software

möglich

möglich

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating