Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für Active Roles Integration

Integration mit One Identity Active Roles Synchronisieren einer Active Directory-Umgebung über One Identity Active Roles Interaktion mit Active Roles Arbeitsabläufen Interaktion mit Active Roles Richtlinien Verwalten der Active Directory Objekte Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für One Identity Active Roles Einstellungen des Active Roles Konnektors

Active Roles spezifische Erweiterungen für Active Directory Gruppen

Für Active Roles werden für eine Active Directory Gruppe zusätzliche Stammdaten abgebildet. Ausführliche Informationen zur Verwaltung von Active Directory Gruppen im One Identity Manager finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Um die aus dem Active Roles ermittelten Stammdaten einer Active Directory Gruppe anzuzeigen

  1. Wählen Sie im Manager die Kategorie Active Directory > Gruppen.

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Wählen Sie den Tabreiter Active Roles.

Die folgenden Eigenschaften werden abgebildet.

Tabelle 8: Active Roles-spezifische Eigenschaften einer Active Directory Gruppe
Eigenschaft Beschreibung

Gruppe ist im Self-Service Manager veröffentlicht

Wenn eine Active Directory Gruppe veröffentlicht ist, kann diese Active Directory Gruppe nach der Synchronisation sofort das Web Portal bestellt werden. Die Angabe wird bei der Synchronisation aus dem Active Roles gelesen. Bei Anlage einer Active Directory Gruppe über das Web Portal wird diese Angabe publiziert, um bei Bedarf weitere Arbeitsabläufe in Active Roles zu starten.

Entscheidung durch die Besitzer der Gruppe

Gibt an, ob die Entscheidung über die Gruppenmitgliedschaft durch den Besitzer (Kontomanager) der Active Directory Gruppe erfolgen muss. Die Angabe hat Auswirkung auf den Ablauf des Genehmigungsverfahrens im IT Shop.

Entscheidung durch einen zusätzlichen Besitzer der Gruppe

Gibt an, ob die Entscheidung über die Gruppenmitgliedschaft durch die zusätzlichen Besitzer der Active Directory Gruppe erfolgen muss. Die Angabe hat Auswirkung auf den Ablauf des Genehmigungsverfahrens im IT Shop.

Dynamische Gruppe

Gibt an, ob die Mitglieder dieser Gruppe in Active Roles dynamisch ermittelt werden. Manuelle Änderungen der Mitgliedschaften sind nicht zulässig.

Kontrollierte Gruppe

Gibt an, ob die Gruppe ist unter Kontrolle von Active Roles ist. Die Gruppe gehört zu einer Group Family in Active Roles. Die Mitgliedschaften werden über die Group Family geregelt. Manuelle Änderungen der Mitgliedschaften sind nicht zulässig.

Group Family

Gibt an, ob diese Gruppe eine Group Family in Active Roles repräsentiert. Group Family erstellt automatisch Gruppen und verwaltet die Mitgliedschaften in Übereinstimmung mit konfigurierbaren Regeln in Active Roles. Manuelle Änderungen der Mitgliedschaften sind nicht zulässig.

Zusätzliche Besitzer

Liste zusätzlicher Besitzer. Zulässig sind Active Directory Gruppen oder Active Directory Benutzerkonten.

Deprovisionierungsstatus

Status der Deprovisionierungsabläufe durch Active Roles beim Löschen des Objektes. Die Angabe wird bei der Synchronisation aus dem Active Roles gelesen.

  • Keine Deprovisionierung: Das Active Directory Objekt ist aktiv.

  • Deprovisionierung erfolgreich: Das Active Directory Objekt wurde erfolgreich deprovisioniert.

  • Deprovisionierung fehlerhaft: Bei der Deprovisionierung des Active Directory Objektes ist ein Fehler aufgetreten.

Deprovisionierungsdatum

Datum der Deprovisionierungsabläufe durch Active Roles beim Löschen des Objektes. Die Angabe wird bei der Synchronisation aus Active Roles gelesen.

Verwandte Themen

Active Directory Benutzerkonten und Active Directory Gruppen deprovisionieren

Der One Identity Manager unterstützt die Deprovisionierung über Active Roles. Anhand konfigurierter Deprovisionierungsrichtlinien im Active Roles wird ein Active Directory Objekt dabei so modifiziert, dass es temporär oder dauerhaft deaktiviert ist und gegebenenfalls erst nach dem Ablauf eines bestimmten Zeitraumes endgültig gelöscht wird. Detaillierte Informationen zur Active Roles Deprovisionierung entnehmen Sie Ihrer One Identity Active Roles Dokumentation.

HINWEIS: Die Konfiguration der Deprovisionierungsrichtlinien im Active Roles kann im Widerspruch zur Standardkonfiguration One Identity Manager stehen. Nehmen Sie in diesem Fall entsprechende kundenspezifische Anpassungen, beispielsweise an Bildungsregeln oder Prozessen, vor.

Zur Deprovisionierung der Active Directory Benutzerkonten und Active Directory Gruppen über den One Identity Manager werden folgenden Verfahren eingesetzt:

  • Deprovisionieren statt Löschen

  • Direktes Deprovisionieren

Detaillierte Informationen zum Thema

Deprovisionieren statt Löschen

Um dieses Verfahren einzusetzen

  • Aktivieren Sie im Manager für die Active Directory Domäne die Optionen Löschen von Benutzerkonten durch Active Roles Arbeitsabläufe und Löschen von Gruppen durch Active Roles Arbeitsabläufe.

Beim Löschen eines Active Directory Benutzerkontos oder einer Active Directory Gruppe im One Identity Manager wird anstelle der Standardprozesse zum Löschen ein Prozess zur Deprovisionierung im Active Roles erzeugt. Der Prozess stellt das Active Directory Objekt zur Deprovisionierung im Active Roles ein, setzt den Deprovisionierungsstatus und prüft den Deprovisionierungsverlauf. Abhängig davon erfolgt die Weiterbehandlung der Active Directory Objekte im One Identity Manager.

  • Wurde das Active Directory Objekt im Active Roles sofort gelöscht, wird das Active Directory Objekt auch im One Identity Manager gelöscht.

  • Wurde das Active Directory Objekt im Active Roles umbenannt oder in einen anderen Active Directory Container verschoben, dann erfolgt dies auch im One Identity Manager.

    Das Active Directory Objekt verbleibt in der One Identity Manager-Datenbank zunächst im Status gelöscht.

HINWEIS: Active Directory Benutzerkonten und Active Directory Gruppen, bei denen die Option Schutz von versehentlichem Löschen aktiviert ist, können nicht verschoben oder gelöscht werden.

Um ein Benutzerkonto zu löschen

  1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Klicken Sie in der Ergebnisliste .

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Um eine Active Directory Gruppe zu löschen

  1. Wählen Sie im Manager die Kategorie Active Directory > Gruppen.

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Klicken Sie in der Ergebnisliste .

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
Verwandte Themen

Direkte Deprovisionierung

Dieses Verfahren können Sie einsetzen, wenn die Active Directory Domäne nicht für die Deprovisionierung gekennzeichnet ist. Um einzelne Active Directory Benutzerkonten oder Active Directory Gruppen zu deprovisionieren, wird an diesen Objekten die Aufgabe Deprovisionieren angeboten.

Es wird ein Prozess zur Deprovisionierung im Active Roles erzeugt. Der Prozess stellt das Active Directory Objekt zur Deprovisionierung im Active Roles ein, setzt den Deprovisionierungsstatus und prüft den Deprovisionierungsverlauf. Abhängig davon erfolgt die Weiterbehandlung der Active Directory Objekte im One Identity Manager.

  • Wurde das Active Directory Objekt im Active Roles sofort gelöscht, wird das Active Directory Objekt auch im One Identity Manager gelöscht.

  • Wurde das Active Directory Objekt im Active Roles umbenannt oder in einen anderen Active Directory Container verschoben, dann erfolgt dies auch im One Identity Manager.

    Das Active Directory Objekt verbleibt in der One Identity Manager-Datenbank zunächst im Status geändert. Durch die nächste Synchronisation werden alle Eigenschaften des Active Directory Objektes in die One Identity Manager-Datenbank eingelesen und der Status auf publiziert gesetzt.

HINWEIS: Active Directory Benutzerkonten und Active Directory Gruppen, bei denen die Option Schutz von versehentlichem Löschen aktiviert ist, können nicht verschoben oder gelöscht werden.

Um ein Active Directory Benutzerkonto zu deprovisionieren

  1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Deprovisionieren.

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  5. Bestätigen Sie mit OK.

Um eine Active Directory Gruppe zu deprovisionieren

  1. Wählen Sie im Manager die Kategorie Active Directory > Gruppen.

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Deprovisionieren.

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  5. Bestätigen Sie mit OK.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating