Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Identitäten und Benutzerkonten Der Unified Namespace

Zeitweilige Deaktivierung von Identitäten

Die Identität ist momentan nicht im Unternehmen, mit der Rückkehr wird zu einem definierten Termin gerechnet. Das gewünschte Verhalten kann sein, dass die Benutzerkonten gesperrt werden und alle Gruppenmitgliedschaften entzogen werden. Oder es sollen die Benutzerkonten gelöscht, bei Wiedereintritt jedoch wieder hergestellt werden, wenn auch mit einer neuen System Identifikationsnummer (SID).

Die zeitweilige Deaktivierung einer Identität wird ausgelöst durch:

  • die Option Zeitweilig deaktiviert

  • das Start- und Enddatum der Deaktivierung (Zeitweilig deaktiviert ab und Zeitweilig deaktiviert bis)

HINWEIS:

  • Konfigurieren Sie im Designer den Zeitplan Benutzerkonten ausgeschiedener Identitäten sperren. Dieser Zeitplan prüft das Startdatum der Deaktivierung und setzt bei Erreichen des Startdatums die Option Zeitweilig deaktiviert.

  • Konfigurieren Sie im Designer den Zeitplan Zeitweise deaktivierte Benutzerkonten aktivieren. Dieser Zeitplan überwacht das Enddatum der Deaktivierung und aktiviert bei Ablauf des Datums die Identität und ihre Benutzerkonten wieder. Benutzerkonten einer Identität, die bereits vor einer zeitweiligen Deaktivierung der Identität deaktiviert waren, werden nach Ablauf des Zeitraumes ebenfalls wieder aktiviert.

Szenario: Benutzerkonten sind mit Identitäten verbunden und werden über Kontendefinitionen verwaltet.
  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen die zeitweilige Deaktivierung von Identitäten auf die Benutzerkonten haben soll. Für jeden Automatisierungsgrad können Sie über die Option Benutzerkonten bei zeitweiliger Deaktivierung sperren festlegen, ob die Benutzerkonten für die Zeit der Deaktivierung gesperrt werden oder aktiviert bleiben.

  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen die zeitweilige Deaktivierung von Identitäten auf die Gruppenmitgliedschaften der Benutzerkonten haben soll. Für jeden Automatisierungsgrad können Sie über die Option Gruppen bei zeitweiliger Deaktivierung beibehalten festlegen, ob beim Deaktivieren von Identitäten die Gruppenmitgliedschaften der Benutzerkonten erhalten bleiben oder entfernt werden.

Szenario: Benutzerkonten sind mit Identitäten verbunden. Es sind keine Kontendefinitionen zugeordnet.
  • Legen Sie das gewünschte Verhalten über den Konfigurationsparameter QER | Person | TemporaryDeactivation fest. Ist der Konfigurationsparameter aktiviert, werden für die Zeit der Deaktivierung die Benutzerkonten einer Identität gesperrt. Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der verbundenen Identität keinen Einfluss auf die Benutzerkonten.

  • Gruppenmitgliedschaften von Benutzerkonten bleiben bestehen. Implementieren Sie bei Bedarf unternehmensspezifische Prozesse, um die Gruppenmitgliedschaften zu entfernen.

Verwandte Themen

Dauerhafte Deaktivierung von Identitäten

Identitäten können dauerhaft deaktiviert werden, beispielsweise wenn sie aus dem Unternehmen ausscheiden. Dabei kann es erforderlich sein, dass diesen Identitäten ihre Berechtigungen in den angeschlossenen Zielsystem und ihre Unternehmensressourcen entzogen werden.

Die Auswirkungen der dauerhaften Deaktivierung einer Identität sind:

  • Die Identität kann nicht als Manager an Identitäten zugewiesen werden.

  • Die Identität kann nicht als Verantwortlicher an Rollen zugewiesen werden.

  • Die Identität kann nicht als Eigentümer an Attestierungsrichtlinien zugewiesen werden.

  • Es erfolgt keine Vererbung von Unternehmensressourcen über Rollen, wenn zusätzlich die Option Keine Vererbung an der Identität aktiviert ist.

  • Benutzerkonten der Identität werden gesperrt oder gelöscht und den Benutzerkonten werden die Gruppenmitgliedschaften entzogen.

Die dauerhafte Deaktivierung einer Identität wird ausgelöst über:

  • die Aufgabe Identität dauerhaft deaktivieren

    Die Aufgabe sorgt dafür, dass die Option Dauerhaft deaktiviert aktiviert wird und das Austrittsdatum und das Datum des letzten Arbeitstages auf den aktuellen Tag gesetzt werden.

  • das Erreichen des Austrittsdatums

    HINWEIS:

    • Prüfen Sie im Designer den Zeitplan Benutzerkonten ausgeschiedener Identitäten sperren. Dieser Zeitplan prüft das Austrittsdatum und setzt bei Erreichen des Austrittsdatums die Option Dauerhaft deaktiviert.

    • Die Aufgabe Identität erneut aktivieren sorgt dafür, dass die Identität wieder aktiviert wird.

  • den Zertifizierungsstatus Abgelehnt

    Wenn der Zertifizierungsstatus einer Identität durch Attestierung oder manuell auf Abgelehnt gesetzt wird, wird die Identität sofort dauerhaft deaktiviert. Wird der Zertifizierungsstatus auf Zertifiziert geändert, wird die Identität wieder aktiviert.

    HINWEIS: Diese Funktion steht zur Verfügung, wenn das Modul Attestierung vorhanden ist.

Szenario: Benutzerkonten sind mit Identitäten verbunden und werden über Kontendefinitionen verwaltet.
  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen die dauerhafte Deaktivierung von Identitäten auf die Benutzerkonten haben soll. Für jeden Automatisierungsgrad können Sie über die Option Benutzerkonten bei dauerhafter Deaktivierung sperren festlegen, ob die Benutzerkonten für die Zeit der Deaktivierung gesperrt werden oder aktiviert bleiben.

  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen die dauerhafte Deaktivierung von Identitäten auf die Gruppenmitgliedschaften der Benutzerkonten haben soll. Für jeden Automatisierungsgrad können Sie über die Option Gruppen bei dauerhafter Deaktivierung beibehalten festlegen, ob beim Löschen einer Identität die Gruppenmitgliedschaften der Benutzerkonten erhalten bleiben oder entfernt werden.

Szenario: Benutzerkonten sind mit Identitäten verbunden. Es sind keine Kontendefinitionen zugeordnet.
  • Legen Sie das gewünschte Verhalten über den Konfigurationsparameter QER | Person | TemporaryDeactivation fest. Ist der Konfigurationsparameter aktiviert, werden für die Zeit der Deaktivierung die Benutzerkonten der Identität gesperrt. Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der verbundenen Identität keinen Einfluss auf die Benutzerkonten.

  • Gruppenmitgliedschaften von Benutzerkonten bleiben bestehen. Implementieren Sie bei Bedarf unternehmensspezifische Prozesse, um die Gruppenmitgliedschaften zu entfernen.

Verwandte Themen

Verzögertes Löschen von Identitäten

Beim Löschen einer Identität wird geprüft, ob der Identität noch Benutzerkonten und Unternehmensressourcen zugeordnet sind oder ob Bestellungen im IT Shop offen sind. Die Identität wird zum Löschen markiert und somit für jede weitere Bearbeitung gesperrt.

Standardmäßig werden Identitäten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Während dieser Zeit besteht die Möglichkeit die Identität wieder zu aktivieren. Nach Ablauf der Löschverzögerung ist ein Wiederherstellen nicht mehr möglich.

Bevor eine Identität endgültig aus der One Identity Manager Datenbank gelöscht werden kann, müssen sämtliche Zuweisungen von Unternehmensressourcen entfernt und Bestellungen abgeschlossen werden. Führen Sie diese Aufgabe manuell durch oder implementieren Sie unternehmensspezifische Prozesse.

Alle mit einer Identität verbundenen Benutzerkonten können unter bestimmten Voraussetzung standardmäßig durch den One Identity Manager gelöscht werden, sobald eine Identität gelöscht wird. Wenn der Identität keine weiteren Unternehmensressourcen zugewiesen sind, wird danach auch die Identität endgültig gelöscht.

Szenario: Benutzerkonten sind mit Identitäten verbunden und werden über Kontendefinitionen verwaltet.
  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen das Löschen von Identitäten auf die Benutzerkonten haben soll. Für jeden Automatisierungsgrad können Sie über die Option Benutzerkonten bei verzögertem Löschen sperren festlegen, ob die Benutzerkonten für die Zeit der Löschverzögerung gesperrt werden oder aktiviert bleiben. In jedem Fall werden die Benutzerkonten nach Ablauf der Löschverzögerung aus der One Identity Manager-Datenbank gelöscht.
  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen das Löschen von Identitäten auf die Gruppenmitgliedschaften der Benutzerkonten haben soll. Für jeden Automatisierungsgrad können Sie über die Option Gruppen bei verzögertem Löschen beibehalten festlegen, ob beim Löschen einer Identität die Gruppenmitgliedschaften der Benutzerkonten erhalten bleiben oder entfernt werden.

Szenario: Benutzerkonten sind mit Identitäten verbunden. Es sind keine Kontendefinitionen zugeordnet.
  • Implementieren Sie unternehmensspezifische Prozesse, um die verbundenen Benutzerkonten zu löschen. Eine Identität bleibt solange zum Löschen markiert, bis sämtliche Benutzerkonten gelöscht und die Zuweisungen übriger Unternehmensressourcen entfernt wurden. Die Benutzerkonten bleiben beim verzögerten Löschen aktiviert bis sie physisch gelöscht werden.
  • Legen Sie über den Konfigurationsparameter QER | Person | User | KeepMembershipsOfLinkedAccount fest, wie die Gruppenmitgliedschaften der Benutzerkonten behandelt werden. Zulässige Werte sind:

    • NONE: Alle Mitgliedschaften werden entzogen. Dies ist das Standardverhalten.

    • ALL: Alle Mitgliedschaften bleiben erhalten.

    • DIRECT: Direkte Mitgliedschaften bleiben erhalten, vererbte Mitgliedschaften werden entzogen.

    WICHTIG: Wenn für eine Gruppe eine Sonderbehandlung für die Vererbung definiert ist, dann werden die Einstellungen des Konfigurationsparameters unter Umständen überschrieben.

Verwandte Themen

Deaktivieren und Löschen über Kontendefinitionen

Werden die Benutzerkonten über Kontendefinitionen verwaltet, dann können Sie das gewünschte Verhalten für die Behandlung der Benutzerkonten und Gruppenmitgliedschaften bei zeitweiliger Deaktivierung, dauerhafter Deaktivierung, Löschen und Sicherheitsgefährdung von Identitäten über die Kontendefinitionen und Automatisierungsgrade festlegen.

Durch den Zusammenhang eines Zielsystems mit einer Kontendefinition können Sie für jedes Zielsystem eines Zielsystemtyps eine gesonderte Behandlung definieren. Weitere Informationen finden Sie unter Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten.

Zuweisung von Kontendefinitionen an Identitäten

Für jede Kontendefinition wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf Zuweisung der Kontendefinition selbst auswirken soll. Die Einstellungen eventueller Vorgängerkontendefinitionen werden dabei überschrieben.

Die Zuweisung von Kontendefinitionen an deaktivierte Identitäten kann beispielsweise gewünscht sein, um bei späterer Aktivierung der Identität sicherzustellen, dass sofort alle erforderlichen Berechtigungen ohne Zeitverlust zur Verfügung stehen.

WICHTIG: Solange eine Kontendefinition für eine Identität wirksam ist, behält die Identität ihre verbundenen Benutzerkonten. Wird die Zuweisung einer Kontendefinition nicht mehr wirksam, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht.

Zur Abbildung des Verhaltens stehen an einer Kontendefinition die folgenden Optionen zur Verfügung.

Tabelle 4: Stammdaten einer Kontendefinition zum Zuweisungsverhalten der Kontendefinition
Eigenschaft Beschreibung

Kontendefinition bei dauerhafter Deaktivierung beibehalten

Angabe zur Zuweisung der Kontendefinition an dauerhaft deaktivierte Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei zeitweiliger Deaktivierung beibehalten

Angabe zur Zuweisung der Kontendefinition an zeitweilig deaktivierte Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei verzögertem Löschen beibehalten

Angabe zur Zuweisung der Kontendefinition bei verzögertem Löschen von Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei Sicherheitsgefährdung beibehalten

Angabe zur Zuweisung der Kontendefinition an sicherheitsgefährdende Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Behandlung von Benutzerkonten von Identitäten

Für jeden Automatisierungsgrad wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf deren Benutzerkonten auswirken soll.

Um bei Deaktivierung oder Löschen einer Identität die Berechtigungen zu entziehen, können die Benutzerkonten der Identität gesperrt werden. Wird die Identität zu einem späteren Zeitpunkt wieder aktiviert, werden ihre Benutzerkonten ebenfalls wieder freigeschaltet.

Zur Behandlung der Benutzerkonten sind an einer Kontendefinition für jeden Automatisierungsgrad die folgenden Optionen verfügbar.

Tabelle 5: Stammdaten eines Automatisierungsgrades zur Behandlung von Benutzerkonten
Eigenschaft Beschreibung

Benutzerkonten bei zeitweiliger Deaktivierung sperren

Gibt an, ob die Benutzerkonten zeitweilig deaktivierter Identitäten gesperrt werden sollen.

Benutzerkonten bei dauerhafter Deaktivierung sperren

Gibt an, ob die Benutzerkonten dauerhaft deaktivierter Identitäten gesperrt werden sollen.

Benutzerkonten bei verzögertem Löschen sperren

Gibt an, ob die Benutzerkonten zum Löschen markierter Identitäten gesperrt werden sollen.

Benutzerkonten bei Sicherheitsgefährdung sperren

Gibt an, ob die Benutzerkonten von sicherheitsgefährdenden Identitäten gesperrt werden sollen.

Vererbung von Gruppenmitgliedschaften an die Benutzerkonten der Identitäten

Für jeden Automatisierungsgrad wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf die Gruppenmitgliedschaften der Benutzerkonten auswirken soll.

Ist eine Identität deaktiviert oder zum Löschen markiert, so können Sie für das Zielsystem einer Kontendefinition die Vererbung der Gruppenmitgliedschaften unterbinden. Dieses Verhalten kann gewünscht sein, wenn die Benutzerkonten und Postfächer einer Identität gesperrt sind und somit auch nicht in Verteilerlisten Mitglied sein dürfen. Während der Zeit der Deaktivierung sollten keine Vererbungsvorgänge für diese Identitäten berechnet werden. Bestehende Gruppenmitgliedschaften werden gelöscht.

Zur Behandlung der Gruppenmitgliedschaften sind an einer Kontendefinition für jeden Automatisierungsgrad die folgenden Optionen verfügbar.

Tabelle 6: Stammdaten einer Automatisierungsgrades zur Behandlung von Gruppenmitgliedschaften
Eigenschaft Beschreibung

Gruppen bei zeitweiliger Deaktivierung beibehalten

Gibt an, ob die Benutzerkonten zeitweilig deaktivierter Identitäten ihre Gruppenmitgliedschaften behalten sollen.

Gruppen bei dauerhafter Deaktivierung beibehalten

Gibt an, ob Benutzerkonten dauerhaft deaktivierter Identitäten Gruppenmitgliedschaften erben sollen.

Gruppen bei verzögertem Löschen beibehalten

Gibt an, ob die Benutzerkonten zum Löschen markierter Identitäten ihre Gruppenmitgliedschaften behalten sollen.

Gruppen bei Sicherheitsgefährdung beibehalten

Gibt an, ob die Benutzerkonten von sicherheitsgefährdenden Identitäten ihre Gruppenmitgliedschaften behalten sollen.

Gruppen bei deaktiviertem Benutzerkonto beibehalten

Gibt an, ob deaktivierte Benutzerkonten ihre Gruppenmitgliedschaften behalten sollen.

HINWEIS: Die Vererbungseinstellungen können für einzelne Gruppen überschrieben werden. Weitere Informationen finden Sie unter Behandlung von Gruppenmitgliedschaften.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating