One Identity Manager stellt verschiedene Berichte zur Verfügung, in denen Informationen über das ausgewählte Basisobjekt und seine Beziehungen zu anderen Objekten der One Identity Manager-Datenbank aufbereitet sind. Für Azure Active Directory stehen folgende Berichte zur Verfügung.
HINWEIS: Abhängig von den vorhandenen Modulen können weitere Berichte zur Verfügung stehen.
Tabelle 46: Berichte zur Datenqualität eines Zielsystems
Übersicht anzeigen |
Benutzerkonto |
Der Bericht zeigt einen Überblick über das Benutzerkonto und die zugewiesenen Berechtigungen. |
Übersicht anzeigen (inklusive Herkunft) |
Benutzerkonto |
Der Bericht zeigt einen Überblick über das Benutzerkonto und die Herkunft der zugewiesenen Berechtigungen. |
Übersicht anzeigen (inklusive Historie) |
Benutzerkonto |
Der Bericht zeigt einen Überblick über das Benutzerkonto einschließlich eines historischen Verlaufs.
Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt. |
Überblick über die Lizenz |
Benutzerkonto |
Der Bericht enthält eine Zusammenfassung der zugewiesenen und effektiven Abonnements und Dienstpläne für ein Benutzerkonto. |
Überblick über die Lizenz |
Abonnement |
Der Bericht zeigt einen Überblick über die Lizenz eines Abonnements. Es wird angezeigt, an welche Gruppen und Benutzerkonten das Abonnement zugewiesen ist und welche Dienstpläne für die Gruppen und die Benutzerkonten effektiv wirken. |
Übersicht aller Zuweisungen |
Gruppe
Abonnement
Administratorrolle |
Der Bericht ermittelt alle Rollen, in denen sich Identitäten befinden, welche die ausgewählte Systemberechtigung besitzen. |
Übersicht anzeigen |
Gruppe |
Der Bericht zeigt einen Überblick über die Systemberechtigung und ihre Zuweisungen. |
Übersicht anzeigen (inklusive Herkunft) |
Gruppe |
Der Bericht zeigt einen Überblick über die Systemberechtigung und die Herkunft der zugewiesenen Benutzerkonten. |
Übersicht anzeigen (inklusive Historie) |
Gruppe |
Der Bericht zeigt einen Überblick über die Systemberechtigung einschließlich eines historischen Verlaufs.
Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt. |
Abweichende Systemberechtigungen anzeigen |
Mandant |
Der Bericht enthält alle Systemberechtigungen, die aus manuellen Operationen im Zielsystem resultieren und nicht aus der Provisionierung über den One Identity Manager. |
Benutzerkonten anzeigen (inklusive Historie) |
Mandant |
Der Bericht liefert alle Benutzerkonten mit ihren Berechtigungen einschließlich eines historischen Verlaufs.
Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt. |
Benutzerkonten mit einer überdurchschnittliche Anzahl an Systemberechtigungen anzeigen |
Mandant |
Der Bericht enthält alle Benutzerkonten, die eine überdurchschnittliche Anzahl an Systemberechtigungen besitzen. |
Identitäten mit mehreren Benutzerkonten anzeigen |
Mandant |
Der Bericht zeigt alle Identitäten, die mehrere Benutzerkonten besitzen. Der Bericht enthält eine Risikoeinschätzung. |
Systemberechtigungen anzeigen (inklusive Historie) |
Mandant |
Der Bericht zeigt die Systemberechtigungen mit den zugewiesenen Benutzerkonten einschließlich eines historischen Verlaufs.
Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt. |
Übersicht aller Zuweisungen |
Mandant |
Der Bericht ermittelt alle Rollen, in denen sich Identitäten befinden, die im ausgewählten Zielsystem mindestens ein Benutzerkonto besitzen. |
Ungenutzte Benutzerkonten anzeigen |
Mandant |
Der Bericht enthält alle Benutzerkonten, die in den letzten Monaten nicht verwendet wurden. |
Unverbundene Benutzerkonten anzeigen |
Mandant |
Der Bericht zeigt alle Benutzerkonten, denen keine Identität zugeordnet ist. |
Tabelle 47: Zusätzliche Berichte für das Zielsystem
Azure Active Directory Benutzerkonten- und Gruppenverteilung |
Der Bericht enthält eine Zusammenfassung zur Benutzerkonten- und Gruppenverteilung aller Mandanten. Den Bericht finden Sie in der Kategorie Mein One Identity Manager. |
Datenqualität der Azure Active Directory Benutzerkonten |
Der Bericht enthält verschiedenen Auswertungen zur Datenqualität der Benutzerkonten aller Mandanten. Den Bericht finden Sie in der Kategorie Mein One Identity Manager. |
Der One Identity Manager bietet seinen Benutzern die Möglichkeit, verschiedene Aufgaben unkompliziert über ein Web Portal zu erledigen.
-
Managen von Benutzerkonten und Identitäten
Mit der Zuweisung einer Kontendefinition an ein IT Shop Regal kann die Kontendefinition von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Identität, beispielsweise einen Manager, wird das Benutzerkonto angelegt.
-
Managen von Zuweisungen von Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstplänen
Mit der Zuweisung von Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstplänen an ein IT Shop Regal können diese Produkte von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Identität wird die Gruppe, die Administratorrolle, das Abonnement oder der unwirksame Dienstplan zugewiesen.
Im IT Shop sind die Regale Identity & Access Lifecycle > Azure Active Directory Gruppen, Identity & Access Lifecycle > Azure Active Directory Abonnements und Identity & Access Lifecycle > Unwirksame Azure Active Directory Dienstpläne vorhanden.
Manager und Administratoren von Organisationen können im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Abteilungen, Kostenstellen oder Standorte zuweisen, für die sie verantwortlich sind. Die Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstpläne werden an alle Identitäten vererbt, die Mitglied dieser Abteilungen, Kostenstellen oder Standorte sind.
Wenn das Geschäftsrollenmodul vorhanden ist, können Manager und Administratoren von Geschäftsrollen im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Geschäftsrollen zuweisen, für die sie verantwortlich sind. Die Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne werden an alle Identitäten vererbt, die Mitglied dieser Geschäftsrollen sind.
Wenn das Systemrollenmodul vorhanden ist, können Verantwortliche von Systemrollen im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Systemrollen zuweisen. Die Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstpläne werden an alle Identitäten vererbt, denen diese Systemrollen zugewiesen sind.
-
Attestierung
Wenn das Modul Attestierung vorhanden ist, kann die Richtigkeit der Eigenschaften von Zielsystemobjekten und von Berechtigungszuweisungen regelmäßig oder auf Anfrage bescheinigt werden. Dafür werden im Manager Attestierungsrichtlinien konfiguriert. Die Attestierer nutzen das Web Portal, um Attestierungsvorgänge zu entscheiden.
-
Governance Administration
Wenn das Modul Complianceregeln vorhanden ist, können Regeln definiert werden, die unzulässige Berechtigungszuweisungen identifizieren und deren Risiken bewerten. Die Regeln werden regelmäßig und bei Änderungen an den Objekten im One Identity Manager überprüft. Complianceregeln werden im Manager definiert. Verantwortliche nutzen das Web Portal, um Regelverletzungen zu überprüfen, aufzulösen und Ausnahmegenehmigungen zu erteilen.
Wenn das Modul Unternehmensrichtlinien vorhanden ist, können Unternehmensrichtlinien für die im One Identity Manager abgebildeten Zielsystemobjekte definiert und deren Risiken bewertet werden. Unternehmensrichtlinien werden im Manager definiert. Verantwortliche nutzen das Web Portal, um Richtlinienverletzungen zu überprüfen und Ausnahmegenehmigungen zu erteilen.
-
Risikobewertung
Über den Risikoindex von Gruppen, Administratorrollen und Abonnements kann das Risiko von Zuweisungen für das Unternehmen bewertet werden. Dafür stellt der One Identity Manager Standard-Berechnungsvorschriften bereit. Im Web Portal können die Berechnungsvorschriften modifiziert werden.
-
Berichte und Statistiken
Das Web Portal stellt verschiedene Berichte und Statistiken über die Identitäten, Benutzerkonten, deren Berechtigungen und Risiken bereit.
Ausführliche Informationen zu den genannten Themen finden Sie unter Managen von Azure Active Directory Benutzerkonten und Identitäten, Managen von Mitgliedschaften in Azure Active Directory Gruppen, Managen von Zuweisungen von Azure Active Directory Administratorrollen, Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen und in folgenden Handbüchern:
-
One Identity Manager Web Designer Web Portal Anwenderhandbuch
-
One Identity Manager Administrationshandbuch für Attestierungen
-
One Identity Manager Administrationshandbuch für Complianceregeln
-
One Identity Manager Administrationshandbuch für Unternehmensrichtlinien
-
One Identity Manager Administrationshandbuch für Risikobewertungen
HINWEIS: Für die Unterstützung von Verbund-Umgebungen im One Identity Manager müssen folgende Module vorhanden sein:
In einer Verbund-Umgebung sind die lokalen Active Directory Benutzerkonten mit Azure Active Directory Benutzerkonten verbunden. Die Verbindung erfolgt über die Eigenschaft ms-ds-consistencyGUID am Active Directory Benutzerkonto und die Eigenschaft immutableId am Azure Active Directory Benutzerkonto. Die Synchronisation der Active Directory Benutzerkonten und Azure Active Directory Benutzerkonten in der Verbund-Umgebung übernimmt Azure AD Connect. Ausführliche Informationen zu Azure AD Connect finden Sie in der Azure Active Directory Dokumentation von Microsoft.
Im One Identity Manager wird die Verbindung über die Azure AD Connect Anker-ID des Active Directory Benutzerkontos (ADSAccount.MSDsConsistencyGuid) und den unveränderlichen Bezeichner des Azure Active Directory Benutzerkontos (AADUser.OnPremImmutableId) abgebildet.
Einige der zielsystemrelevanten Eigenschaften von Azure Active Directory Benutzerkonten, die mit lokalen Active Directory Benutzerkonten verbunden sind, können im One Identity Manager nicht bearbeitet werden. Die Zuweisung von Berechtigungen an Azure Active Directory Benutzerkonten im One Identity Manager ist jedoch möglich.
Zuweisungen zu Azure Active Directory Gruppen, die mit dem lokalen Active Directory synchronisiert werden, sind im One Identity Manager nicht erlaubt. Diese Gruppen können nicht über das Web Portal bestellt werden. Sie können diese Gruppen nur in Ihrer lokalen Umgebung verwalten. Ausführliche Informationen finden Sie in der Azure Active Directory Dokumentation von Microsoft.
Der One Identity Manager unterstützt folgende Szenarien für Verbund-Umgebungen.
Szenario 1
-
Die Active Directory Benutzerkonten werden im One Identity Manager erstellt und in die lokale Active Directory-Umgebung provisioniert.
-
Azure AD Connect erzeugt die Azure Active Directory Benutzerkonten im Azure Active Directory Mandanten.
-
Die Azure Active Directory Synchronisation liest die Azure Active Directory Benutzerkonten in den One Identity Manager ein.
Dieses Szenario ist das empfohlene Vorgehen. Das Erzeugen eines Azure Active Directory Benutzerkontos über Azure AD Connect und das anschließende Einlesen in den One Identity Manager dauern in der Regel einige Zeit. Die Azure Active Directory Benutzerkonten sind nicht sofort im One Identity Manager verfügbar.
Szenario 2
-
Die Active Directory Benutzerkonten und die Azure Active Directory Benutzerkonten werden im One Identity Manager erstellt.
Dabei wird die Verbindung über die Spalten ADSAccount.MSDsConsistencyGuid und AADUser.OnPremImmutableId hergestellt. Dies kann über kundenspezifische Skripte oder kundenspezifische Bildungsregeln erfolgen.
-
Die Active Directory Benutzerkonten und die Azure Active Directory Benutzerkonten werden unabhängig voneinander in ihre Zielumgebungen provisioniert.
-
Azure AD Connect erkennt die Verbindung zwischen den Benutzerkonten, stellt die Verbindung auch in der Verbund-Umgebung her und aktualisiert die erforderlichen Eigenschaften.
-
Die nächste Azure Active Directory Synchronisation aktualisiert die Azure Active Directory Benutzerkonten im One Identity Manager.
Mit diesem Szenario sind die Azure Active Directory Benutzerkonten sofort im One Identity Manager vorhanden und können ihre Berechtigungen erhalten.
HINWEIS:
-
Wenn Sie mit Kontendefinitionen arbeiten, wird empfohlen die Kontendefinition für Active Directory als vorausgesetzte Kontendefinition in der Kontendefinition für Azure Active Directory einzutragen.
-
Wenn Sie mit Kontendefinitionen arbeiten, wird empfohlen im Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend mit dem Wert Nur initial verwenden. Die Daten werden in diesem Fall nur initial ermittelt.
-
Nachträgliche Änderungen der Azure Active Directory Benutzerkonten per Bildungsregeln sollten nicht erfolgen, da einige der Zielsystem-relevanten Eigenschaften nicht bearbeitbar sind und es zu Fehlermeldungen kommen kann:
[Exception]: ServiceException occured
Code: Request_BadRequest
Message: Unable to update the specified properties for on-premises mastered Directory Sync objects or objects currently undergoing migration.
[ServiceException]: Code: Request_BadRequest - Message: Unable to update the specified properties for on-premises mastered Directory Sync objects or objects currently undergoing migration.
Verwandte Themen
Für die Verwaltung einer Azure Active Directory-Umgebung im One Identity Manager sind folgende Basisdaten relevant.
-
Zielsystemtypen
Zielsystemtypen werden für die Konfiguration des Zielsystemabgleichs benötigt. An den Zielsystemtypen werden die Tabellen gepflegt, die ausstehende Objekte enthalten können. Es werden Einstellungen für die Provisionierung von Mitgliedschaften und die Einzelobjektsynchronisation vorgenommen. Zusätzlich dient der Zielsystemtyp zur Abbildung der Objekte im Unified Namespace.
Weitere Informationen finden Sie unter Ausstehende Objekte nachbehandeln.
-
Zielsystemverantwortliche
Im One Identity Manager ist eine Standardanwendungsrolle für die Zielsystemverantwortlichen vorhanden. Weisen Sie dieser Anwendungsrolle die Identitäten zu, die berechtigt sind, alle Mandanten im One Identity Manager zu bearbeiten.
Wenn Sie die Berechtigungen der Zielsystemverantwortlichen auf einzelne Mandanten einschränken wollen, definieren Sie weitere Anwendungsrollen. Die Anwendungsrollen müssen der Standardanwendungsrolle untergeordnet sein.
Weitere Informationen finden Sie unter Zielsystemverantwortliche für Azure Active Directory.
-
Server
Für die Verarbeitung der Azure Active Directory-spezifischen Prozesse im One Identity Manager müssen die Server mit ihren Serverfunktionen bekannt sein. Dazu gehört beispielsweise der Synchronisationsserver.
Ausführliche Informationen zum Bearbeiten von Jobservern für Azure Active Directory finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung.