Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Personen und Benutzerkonten Verwalten kundendefinierter Zielsysteme
One Identity Manager Benutzer für die Verwaltung von kundendefinierten Zielsystemen Einrichten der Skript-gesteuerten Provisionierung der Daten in ein kundendefiniertes Zielsystem Basisdaten für kundendefinierte Zielsysteme Einrichten eines kundendefinierten Zielsystems Verwalten von Containerstrukturen in einem kundendefinierten Zielsystem Verwalten von Benutzerkonten in einem kundendefinierten Zielsystem Verwalten von Gruppen in einem kundendefinierten Zielsystem Erfassen von Berechtigungselementen Nachbehandlung ausstehender Objekte Berichte über kundendefinierte Zielsysteme
Der Unified Namespace Anhang: Konfigurationsparameter für die Verwaltung kundendefinierter Zielsysteme Informationen zu Dell

Grundlagen zu Kontendefinitionen

Eine Kontendefinition legt fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über die primären Rollen einer Person ermittelt werden können.

Kontendefinitionen können für jedes Zielsystem der eingesetzten Zielsystemtypen erzeugt werden, beispielsweise für die unterschiedlichen Domänen einer Active Directory®-Umgebung oder die einzelnen Mandanten eines SAP® R/3®-Systems. Eine Kontendefinition ist immer für ein Zielsystem gültig. Für ein Zielsystem können jedoch mehrere Kontendefinitionen definiert werden. Welche Kontendefinition verwendet wird, entscheidet sich beim Erzeugen eines Benutzerkontos für eine Person. Um sicherzustellen, dass beispielsweise ein Microsoft® Exchange Postfach erst erzeugt wird, wenn auch ein Active Directory® Benutzerkonto vorhanden ist, können Abhängigkeiten zwischen Kontendefinitionen festgelegt werden.

An einer Kontendefinition wird festgelegt, welche Automatisierungsgrade genutzt werden können. Es können mehrere Automatisierungsgrade erstellt werden. Der Automatisierungsgrad entscheidet über den Umfang der vererbten Eigenschaften der Person an ihre Benutzerkonten.

Der One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade:

  • Unmanaged

    Benutzerkonten mit dem Automatisierungsgrad „Unmanaged“ erhalten eine Verbindung zur Person, erben jedoch keine weiteren Eigenschaften. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Person werden initial einige der Personeneigenschaften übernommen. Werden die Personeneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen nicht an das Benutzerkonto weitergereicht.

  • Full managed

    Benutzerkonten mit dem Automatisierungsgrad „Full managed“ erben definierte Eigenschaften der zugeordneten Person.

HINWEIS: Die Automatisierungsgrade „Full managed“ und „Unmanaged“ werden in Bildungsregeln ausgewertet. Die mitgelieferten Bildungsregeln können Sie im Designer unternehmensspezifisch anpassen.

Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren. Die Bildungsregeln müssen Sie um die Vorgehensweise für die zusätzlichen Automatisierungsgrade erweitern.

Für jede Kontendefinition wird ein Automatisierungsgrad als Standard festgelegt. Dieser Standardautomatisierungsgrad wird bei der automatischen Erzeugung neuer Benutzerkonten zur Ermittlung der gültigen IT Betriebsdaten genutzt. In den Prozessen der One Identity Manager Standardinstallation wird zunächst überprüft, ob die Person bereits ein Benutzerkonto im Zielsystem der Kontendefinition besitzt. Ist kein Benutzerkonto vorhanden, so wird ein neues Benutzerkonto mit dem Standardautomatisierungsgrad der Kontendefinition erzeugt.

Hinweis: Ist bereits ein Benutzerkonto vorhanden und ist es deaktiviert, dann wird dieses Benutzerkonto entsperrt. Den Automatisierungsgrad des Benutzerkontos müssen Sie in diesem Fall nachträglich ändern.

Für jede Kontendefinition wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf Zuweisung der Kontendefinition selbst auswirken soll. Solange eine Kontendefinition für eine Person wirksam ist, behält die Person ihre verbundenen Benutzerkonten. Die Zuweisung von Kontendefinitionen an deaktivierte Personen kann beispielsweise gewünscht sein, um bei späterer Aktivierung der Person sicherzustellen, das sofort alle erforderlichen Berechtigungen ohne Zeitverlust zur Verfügung stehen. Ist die Zuweisung einer Kontendefinition nicht mehr wirksam oder wird die Kontendefinition von der Person entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht. Zusätzlich wird für jeden Automatisierungsgrad festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf ihre Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

Ermitteln der gültigen IT Betriebsdaten für die Zielsysteme

Um für eine Person Benutzerkonten mit dem Automatisierungsgrad „Full managed“ zu erzeugen, müssen die benötigten IT Betriebsdaten ermittelt werden. Welche IT Betriebsdaten für welches Zielsystem konkret verwendet werden sollen, wird an den Abteilungen, Kostenstellen, Standorten und Geschäftsrollen definiert. Einer Person wird eine primäre Abteilung, eine primäre Kostenstelle, ein primärer Standort oder eine primäre Geschäftsrolle zugeordnet. Abhängig von dieser Zuordnung werden die gültigen IT Betriebsdaten ermittelt und für die Erstellung des Benutzerkontos verwendet. Können über die primären Rollen keine gültigen IT Betriebsdaten ermittelt werden, werden die Standardwerte verwendet.

Die Prozessabläufe für die automatische Zuordnung der IT Betriebsdaten zu den Benutzerkonten einer Person innerhalb des One Identity Manager sollen anhand der nachfolgenden Abbildung veranschaulicht werden.

Abbildung 2: Abbildung der IT Betriebsdaten auf ein Benutzerkonto

Die IT Betriebsdaten, die in der Standardkonfiguration des One Identity Manager für das automatische Erzeugen oder Ändern von Benutzerkonten und Postfächer für eine Person in den Zielsystemen verwendet werden, sind in der nachfolgenden Tabelle aufgeführt.

Hinweis: Die IT Betriebsdaten sind abhängig vom Zielsystem und sind in den One Identity Manager Modulen enthalten. Die Daten stehen erst zur Verfügung, wenn die Module installiert sind.

Tabelle 1: Zielsystemtyp-abhängige IT Betriebsdaten
Zielsystemtyp IT Betriebsdaten

Active Directory®

Container

Homeserver

Profilserver

Terminal Homeserver

Terminal Profilserver

Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Microsoft® Exchange

Postfachdatenbank

LDAP

Container

Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

IBM® Notes®

Server

Zertifikat

Vorlage der Postdatei

Identität

SharePoint®

Authentifizierungsmodus

Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Kundendefinierte Zielsysteme

Container (je Zielsystem)

Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Azure® Active Directory®

Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Kennwort bei der nächsten Anmeldung ändern

Cloud Zielsystem Container (je Zielsystem)
Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Wenn in einem Zielsystem mehrere Kontendefinitionen für die Abbildung der Benutzerkonten verwendet werden, können Sie die IT Betriebsdaten auch direkt für eine konkrete Kontendefinition festlegen.

Beispiel:

In der Regel erhält jede Person der Abteilung A ein Standardbenutzerkonto in der Domäne A. Zusätzlich erhalten einige Personen der Abteilung A administrative Benutzerkonten in der Domäne A.

Erstellen Sie eine Kontendefinition A für die Standardbenutzerkonten der Domäne A und eine Kontendefinition B für die administrativen Benutzerkonten der Domäne A. In der Abbildungsvorschrift der IT Betriebsdaten für die Kontendefinitionen A und B legen Sie die Eigenschaft "Abteilung" zur Ermittlung der gültigen IT Betriebsdaten fest.

Für die Abteilung A legen Sie die wirksamen IT Betriebsdaten für die Domäne A fest. Diese IT Betriebsdaten werden für die Standardbenutzerkonten verwendet. Zusätzlich legen Sie für die Abteilung A die wirksamen IT Betriebsdaten für die Kontendefinition B fest. Diese IT Betriebsdaten werden für administrative Benutzerkonten verwendet.

Zuweisen der Kontendefinitionen an Personen

Kontendefinitionen werden an die Personen des Unternehmens zugewiesen. Das Standardverfahren für die Zuweisung von Kontendefinitionen an Personen ist die indirekte Zuweisung. Die Kontendefinitionen werden an die Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen zugewiesen. Die Personen werden gemäß ihrer Funktion im Unternehmen in diese Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen eingeordnet und erhalten so ihre Kontendefinitionen. Um auf Sonderanforderungen zu reagieren, können einzelne Kontendefinitionen direkt an Personen zugewiesen werden. Kontendefinitionen können automatisch an alle Personen eines Unternehmens zugewiesen werden. Es ist möglich, die Kontendefinitionen als bestellbare Produkte dem IT Shop zuzuordnen. Der Abteilungsleiter kann dann für seine Mitarbeiter Benutzerkonten über das Web Portal bestellen. Zusätzlich ist es möglich, Kontendefinitionen in Systemrollen aufzunehmen. Diese Systemrollen können über hierarchische Rollen oder direkt an Personen zugewiesen werden oder als Produkte in den IT Shop aufgenommen werden.

Zentrales Benutzerkonto einer Person

Tabelle 2: Konfigurationsparameter für die Bildung der zentralen Benutzerkonten
Konfigurationsparameter Bedeutung

QER\Person\CentralAccountGlobalUnique

Der Konfigurationsparameter legt fest, wie das zentrale Benutzerkonto abgebildet wird.

Ist der Konfigurationsparameter aktiviert erfolgt die Bildung des zentralen Benutzerkonto einer Person eindeutig bezogen auf die zentralen Benutzerkonten aller Personen und die Benutzerkontennamen aller erlaubten Zielsystemen.

Ist der Konfigurationsparameter nicht aktiviert, erfolgt die Bildung nur eindeutig bezogen auf die zentralen Benutzerkonten aller Personen.

Das zentrale Benutzerkonto einer Person wird zur Bildung des Anmeldenamens der Benutzerkonten in den aktivierten Zielsystemen herangezogen. Das zentrale Benutzerkonto wird weiterhin bei der Anmeldung an den Werkzeugen des One Identity Manager genutzt. In der Standardinstallation des One Identity Manager wird das zentrale Benutzerkonto aus dem Vornamen und dem Nachnamen der Person gebildet. Ist nur eine dieser Eigenschaften bekannt, wird diese zur Bildung des zentralen Benutzerkontos genutzt. Der One Identity Manager prüft in jedem Fall, ob es bereits ein zentrales Benutzerkonto mit dem ermittelten Wert gibt. Ist dies der Fall, wird eine fortlaufende Nummerierung, beginnend mit 1, an den ursprünglichen Wert angehängt.

Tabelle 3: Beispiel für die Bildung des zentralen Benutzerkontos
Vorname Nachname Zentrales Benutzerkonto
Clara   CLARA
  Harris HARRIS
Clara Harris CLARAH
Clara Harrison CLARAH1
Verwandte Themen

Standard-E-Mail-Adresse einer Person

Tabelle 4: Konfigurationsparameter für die Standard-E-Mail-Adresse
Konfigurationsparameter Beschreibung
QER\Person\DefaultMailDomain

Der Konfigurationsparameter enthält die Standardmaildomäne. Der Wert dient zur Bestimmung der Standard-E-Mail-Adresse einer Person.

Die Standard-E-Mail-Adresse der Person wird auf die Postfächer in den aktivierten Zielsystemen abgebildet. In der Standardinstallation des One Identity Manager wird die Standard-E-Mail-Adresse aus dem zentralen Benutzerkonto der Person und der Standardmaildomäne der aktivierten Zielsysteme gebildet.

Die Standardmaildomäne wird aus dem Konfigurationsparameter "QER\Person\DefaultMailDomain" ermittelt.

  • Aktivieren Sie im Designer den Konfigurationsparameter und tragen Sie die Bezeichnung der Standardmaildomäne als Wert ein.
Verwandte Themen

Ändern von Personenstammdaten

Nachfolgend wird nur auf die Personenstammdaten eingegangen, deren Änderungen in der One Identity Manager Standardinstallation Auswirkungen auf die Benutzerkonten einer Person mit dem Automatisierungsgrad „Full managed“ haben.

Allgemeine Änderungen

Dieser Prozess betrifft alle Änderungen der Daten in Bezug auf Telefonnummer, Faxnummer, Mobiltelefon, Straße, PLZ oder Ort einer Person und ändert die Daten in den Benutzerkonten der Zielsysteme, die der Person zugeordnet sind, sofern diese Daten im jeweiligen Zielsystem abgebildet sind.

Namensänderung einer Person

Namensänderungen einer Person beeinflussen die Bildung des zentralen Benutzerkontos einer Person. Nach der Bildungsregel wird aus Vorname und Nachname das zentrale Benutzerkonto gebildet. Das zentrale Benutzerkonto wird in einigen Zielsystemen als Vorlage für die Bildung der Anmeldenamens der Benutzerkonten verwendet wird. Weitere überschreibende Bildungsregeln steuern bei der Anlage eines Benutzerkontos beispielsweise die Bildung für das Homeverzeichnis und das Profilverzeichnis aus dem zentralen Benutzerkonto, die auch bei Namensänderungen angepasst werden.

Innerbetrieblicher Wechsel einer Person

Der innerbetriebliche Wechsel wird über die Änderungen des Standortes oder der Abteilung gesteuert. Im One Identity Manager werden damit die administrativen Abläufe für die Veränderung der zielsystemabhängigen IT Betriebsdaten (beispielsweise Domäne, Homeserver oder Profilserver) automatisiert. Aufgrund der systembedingten Unterschiede der Zielsysteme hinsichtlich der notwendigen Aktionen für einen Abteilungswechsel gibt es für jedes Zielsystem andere Subprozesse.

Verwandte Themen
Related Documents