Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Personen und Benutzerkonten Verwalten kundendefinierter Zielsysteme
One Identity Manager Benutzer für die Verwaltung von kundendefinierten Zielsystemen Einrichten der Skript-gesteuerten Provisionierung der Daten in ein kundendefiniertes Zielsystem Basisdaten für kundendefinierte Zielsysteme Einrichten eines kundendefinierten Zielsystems Verwalten von Containerstrukturen in einem kundendefinierten Zielsystem Verwalten von Benutzerkonten in einem kundendefinierten Zielsystem Verwalten von Gruppen in einem kundendefinierten Zielsystem Erfassen von Berechtigungselementen Nachbehandlung ausstehender Objekte Berichte über kundendefinierte Zielsysteme
Der Unified Namespace Anhang: Konfigurationsparameter für die Verwaltung kundendefinierter Zielsysteme Informationen zu Dell

Automatische Zuordnung von Personen zu Benutzerkonten

Tabelle 29: Konfigurationsparameter für die automatische Personenzuordnung
Konfigurationsparameter Bedeutung
TargetSystem\UNS\PersonAutoFullsync

Der Konfigurationsparameter legt den Modus für die automatische Personenzuordnung für Benutzerkonten fest, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem\UNS\PersonAutoDefault

Der Konfigurationsparameter legt den Modus für die automatische Personenzuordnung für Benutzerkonten fest, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem\UNS\PersonExcludeList

Der Konfigurationsparameter enthält eine Auflistung aller Benutzerkonten, für die keine automatische Personenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Beispiel:

ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.*\$

TargetSystem\UNS\
PersonAutoDisabledAccounts

Der Konfigurationsparameter legt fest, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

Beim Einfügen eines Benutzerkontos kann automatisch eine vorhandene Person zugeordnet und im Bedarfsfall neu erstellt werden. Dabei werden die Personenstammdaten anhand vorhandener Benutzerstammdaten erzeugt. Dieser Mechanismus kann auf die Erstellung eines neuen Benutzerkontos durch manuelle Anlage oder Synchronisation folgen. Für die automatische Personenzuordnung definieren Sie Kriterien für die Ermittlung der Personen. Wird durch den eingesetzten Modus ein Benutzerkonto mit einer Person verbunden, so erhält das Benutzerkonto durch interne Verarbeitung den Standardautomatisierungsgrad der Kontendefinition, die am Zielsystem des Benutzerkontos eingetragen ist. Abhängig davon, wie das Verhalten des verwendeten Automatisierungsgrades definiert ist, können Eigenschaften der Benutzerkonten angepasst werden.

Schalten Sie das Verfahren im laufenden Betrieb ein, erfolgt ab diesem Zeitpunkt die automatische Zuordnung der Personen zu Benutzerkonten. Deaktivieren Sie das Verfahren zu einem späteren Zeitpunkt wieder, wirkt sich diese Änderung nur auf Benutzerkonten aus, die ab diesem Zeitpunkt angelegt oder aktualisiert werden. Bereits vorhandene Zuordnungen von Personen zu Benutzerkonten bleiben bestehen.

HINWEIS: Für administrative Benutzerkonten wird empfohlen, die Zuordnung der Personen nicht über die automatische Personenzuordnung vorzunehmen. Ordnen Sie Personen zu administrativen Benutzerkonten über die Aufgabe Stammdaten bearbeiten am jeweiligen Benutzerkonto zu.

Führen Sie folgende Aktionen aus, damit Personen automatisch zugeordnet werden können.

  • Wenn Personen bei der Synchronisation von Benutzerkonten zugeordnet werden sollen, aktivieren Sie im Designer den Konfigurationsparameter „TargetSystem\UNS\PersonAutoFullsync“ und wählen Sie den gewünschte Modus aus.
  • Wenn Personen außerhalb der Synchronisation zugeordnet werden sollen, aktivieren Sie im Designer den Konfigurationsparameter „TargetSystem\UNS\PersonAutoDefault“ und wählen Sie den gewünschte Modus aus.
  • Legen Sie im Konfigurationsparameter "TargetSystem\UNS\PersonExcludeList" die Benutzerkonten fest, für die keine automatische Zuordnung zu Personen erfolgen soll.

    Beispiel:

    ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.*\$

  • Legen Sie über den Konfigurationsparameter "TargetSystem\UNS\PersonAutoDisabledAccounts" fest, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.
  • Weisen Sie dem Zielsystem eine Kontendefinition zu. Stellen Sie sicher, dass der Automatisierungsgrad, der verwendet werden soll, als Standardautomatisierungsgrad eingetragen ist.
  • Definieren Sie die Suchkriterien für die Personenzuordnung am Zielsystem.

    Hinweis: Um die Herkunft der Personen zu bestimmen, können Sie im Skript TSB_PersonAuto_Mapping_UNSAccountB die Spalte Person.ImportSource bestücken. Erweitern Sie dazu im Designer die Liste der zulässigen Werte an der Spalte Person.ImportSource und überschreiben Sie das Skript entsprechend.

HINWEIS:

Für die Synchronisation gilt:

  • Die automatische Personenzuordnung wirkt, wenn Benutzerkonten neu angelegt oder aktualisiert werden.

Außerhalb der Synchronisation gilt:

  • Die automatische Personenzuordnung wirkt, wenn Benutzerkonten neu angelegt werden.

HINWEIS: Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten Personen erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für das Zielsystem bekannt, werden die Benutzerkonten mit den Personen verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten sind somit im Zustand "Linked" (verbunden).

Um die Benutzerkonten über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.
  2. Weisen Sie dem Zielsystem eine Kontendefinition zu.
  3. Weisen Sie den Benutzerkonten im Zustand "Linked" (verbunden) die Kontendefinition und den Automatisierungsgrad zu.
    1. Wählen Sie die Kategorie Kundendefinierte Zielsysteme | <Zielsystem> | Benutzerkonten | Verbunden aber nicht konfiguriert | <Zielsystem>.
    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.
Verwandte Themen

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

Die Kriterien für die Personenzuordnung werden an den Zielsystemen definiert. Dabei legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person dem Benutzerkonto zugeordnet werden kann. Die Suchkriterien können Sie durch Formatdefinitionen weiter einschränken. Das zusammengestellte Suchkriterium wird in XML-Notation in die Spalte „Suchkriterien für die automatische Personenzuordnung“ (AccountToPersonMatchingRule) der Zielsystem-Tabelle geschrieben.

Suchkriterien werden bei der automatischen Zuordnung von Personen zu Benutzerkonten ausgewertet. Darüber hinaus können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen.

HINWEIS: Bei der Zuordnung der Personen zu Benutzerkonten anhand der Suchkriterien erhalten die Benutzerkonten den Standardautomatisierungsgrad der Kontendefinition, die am Zielsystem des Benutzerkontos eingetragen ist. Abhängig davon, wie das Verhalten des verwendeten Automatisierungsgrades definiert ist, können Eigenschaften der Benutzerkonten angepasst werden.

Für administrative Benutzerkonten wird empfohlen, die Zuordnung nicht anhand der Suchkriterien vorzunehmen. Ordnen Sie Personen zu administrativen Benutzerkonten über die Aufgabe Stammdaten bearbeiten am jeweiligen Benutzerkonto zu.

HINWEIS: Der One Identity Manager liefert ein Standardmapping für die Personenzuordnung. Führen Sie die folgenden Schritte nur aus, wenn Sie das Standardmapping unternehmensspezifisch anpassen möchten.

Um Kriterien für die Personenzuordnung festzulegen

  1. Wählen Sie die Kategorie Kundendefinierte Zielsysteme | Basisdaten zur Konfiguration | <Zielsystem>.
  2. Wählen Sie in der Ergebnisliste das Zielsystem.
  3. Wählen Sie die Aufgabe Suchkriterien für die Personenzuordnung definieren.
  4. Legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person mit dem Benutzerkonto verbunden wird.
    Tabelle 30: Standardsuchkriterien für Benutzerkonten
    Anwenden auf Spalte an Person Spalte am Benutzerkonto
    Benutzerkonten Zentrales Benutzerkonto (CentralAccount) Anmeldename (AccountName)
  5. Speichern Sie die Änderungen.
Direkte Zuordnung von Personen an Benutzerkonten anhand einer Vorschlagsliste

Im Bereich "Zuordnungen" können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen. Die Benutzerkonten sind dafür in verschiedenen Ansichten zusammengestellt.

Tabelle 31: Ansichten zur manuellen Zuordnung
Ansicht Beschreibung
Vorgeschlagene Zuordnungen Die Ansicht listet alle Benutzerkonten auf, denen der One Identity Manager eine Person zuordnen kann. Dazu werden die Personen angezeigt, die durch die Suchkriterien ermittelt und zugeordnet werden können.
Zugeordnete Benutzerkonten Die Ansicht listet alle Benutzerkonten auf, denen eine Person zugeordnet ist.
Ohne Personenzuordnung Die Ansicht listet alle Benutzerkonten auf, denen keine Person zugeordnet ist und für die über die Suchkriterien keine passende Person ermittelt werden kann.

TIPP: Mit Maus-Doppelklick auf einen Eintrag in den Ansichten werden das Benutzerkonto und die Person geöffnet und Sie können die Stammdaten einsehen.

Um die Suchkriterien auf die Benutzerkonten anzuwenden

  • Klicken Sie Neu laden.

    Für alle Benutzerkonten im Zielsystem werden die möglichen Zuordnungen anhand der Suchkriterien ermittelt. Die drei Ansichten werden aktualisiert.

Um Personen direkt über die Vorschlagsliste zuzuordnen

  1. Klicken Sie Vorgeschlagene Zuordnungen.
    1. Klicken Sie Auswahl für alle Benutzerkonten, denen die vorgeschlagene Person zugeordnet werden soll. Eine Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte zuweisen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die per Suchkriterium ermittelten Personen zugeordnet.

    – ODER –

  2. Klicken Sie Ohne Personenzuordnung.
    1. Klicken Sie Person auswählen... für das Benutzerkonto, dem eine Person zugeordnet werden soll. Wählen Sie eine Person aus der Auswahlliste.
    2. Klicken Sie Auswahl für alle Benutzerkonten, denen die ausgewählten Personen zugeordnet werden sollen. Eine Mehrfachauswahl ist möglich.
    3. Klicken Sie Ausgewählte zuweisen.
    4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die Personen zugeordnet, die in der Spalte "Person" angezeigt werden.

Um Zuordnungen zu entfernen

  1. Klicken Sie Zugeordnete Benutzerkonten.
    1. Klicken Sie Auswahl für alle Benutzerkonten, deren Personenzuordnung entfernt werden soll. Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte entfernen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Von den ausgewählten Benutzerkonten werden die zugeordneten Personen entfernt.

Detaillierte Informationen zum Thema

Weitere Informationen finden Sie unter Bearbeiten der Suchkriterien für die automatische Personenzuordnung.

Verwandte Themen

Deaktivieren von Benutzerkonten

Deaktivieren von Benutzerkonten

Tabelle 32: Konfigurationsparameter für das Deaktivieren von Benutzerkonten
Konfigurationsparameter Bedeutung
QER\Person\TemporaryDeactivation Der Konfigurationsparameter legt fest, ob die Benutzerkonten der Person gesperrt werden, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.

Wie Sie Benutzerkonten deaktivieren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario:
  • Die Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad „Full managed“ werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte UNSAccountB.AccountDisabled.

Szenario:
  • Die Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Personen verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter "QER\Person\TemporaryDeactivation".

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Person deaktiviert, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.
  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Person keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu sperren

  1. Wählen Sie die Kategorie Kundendefinierte Zielsysteme | <Zielsystem> | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.
  5. Speichern Sie die Änderungen.
Szenario:
  • Benutzerkonten sind nicht mit Personen verbunden.

Um ein Benutzerkonto zu sperren, das nicht mit einer Person verbunden ist

  1. Wählen Sie die Kategorie Kundendefinierte Zielsysteme | <Zielsystem> | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.
  5. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Verwandte Themen

Löschen und Wiederherstellen von Benutzerkonten

HINWEIS: Solange eine Kontendefinition für eine Person wirksam ist, behält die Person ihr daraus entstandenes Benutzerkonto. Wird die Zuweisung einer Kontendefinition entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht.

Ein Benutzerkonto, das nicht über eine Kontendefinition entstanden ist, löschen Sie über die Ergebnisliste oder über die Menüleiste. Nach Bestätigung der Sicherheitsabfrage wird das Benutzerkonto im One Identity Manager zunächst zum Löschen markiert. Das Benutzerkonto wird im One Identity Manager gesperrt und je nach Einstellung der Löschverzögerung endgültig aus der One Identity Manager-Datenbank und aus dem Zielsystem gelöscht.

Konfigurieren der Löschverzögerung

Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Während dieser Zeit besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung ist ein Wiederherstellen nicht mehr möglich. Eine abweichende Löschverzögerung konfigurieren Sie im Designer an der Tabelle UNSAccountB.

Um ein Benutzerkonto zu löschen

  1. Wählen Sie die Kategorie Kundendefinierte Zielsysteme | <Zielsystem> | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Klicken Sie in der Ergebnisliste .
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Um ein Benutzerkonto wiederherzustellen

  1. Wählen Sie die Kategorie Kundendefinierte Zielsysteme | <Zielsystem> | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Klicken Sie in der Ergebnisliste die Schaltfläche Löschen rückgängig machen.
Verwandte Themen
Related Documents