Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Personen und Benutzerkonten Verwalten kundendefinierter Zielsysteme
One Identity Manager Benutzer für die Verwaltung von kundendefinierten Zielsystemen Einrichten der Skript-gesteuerten Provisionierung der Daten in ein kundendefiniertes Zielsystem Basisdaten für kundendefinierte Zielsysteme Einrichten eines kundendefinierten Zielsystems Verwalten von Containerstrukturen in einem kundendefinierten Zielsystem Verwalten von Benutzerkonten in einem kundendefinierten Zielsystem Verwalten von Gruppen in einem kundendefinierten Zielsystem Erfassen von Berechtigungselementen Nachbehandlung ausstehender Objekte Berichte über kundendefinierte Zielsysteme
Der Unified Namespace Anhang: Konfigurationsparameter für die Verwaltung kundendefinierter Zielsysteme Informationen zu Dell

Bildungsregeln und Prozesse für den Einsatz von Kontendefinitionen

Zur Abbildung der IT Betriebsdaten werden nur die Eigenschaften der Benutzerkonten angeboten, die in der Bildungsregel das Skript TSB_ITDataFromOrg verwenden. Wenn Sie von der Standardinstallation abweichende oder zusätzliche Eigenschaften verwenden wollen, erstellen Sie kundenspezifische Bildungsregeln unter Verwendung dieses Skriptes.

In der Standardinstallation des One Identity Manager ist pro Zielsystemtyp jeweils ein Prozess für die Erstellung von Benutzerkonten über Kontendefinitionen enthalten. Diese Prozesse können Sie als Kopiervorlagen für die unternehmensspezifische Erweiterungen des Verhaltens nutzen.

Hinweis: Die Prozesse sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.

Der Name der Prozesse ist folgendermaßen aufgebaut:

TSB_PersonHasTSBAccountDef_Autocreate_<Benutzerkontentabelle>

wobei:

<Benutzerkontentabelle> = Tabelle, in der die Benutzerkonten abgebildet werden;

zum Beispiel:

ADSAccount (Active Directory® Benutzerkonten),

ADSContact (Active Directory® Kontakte)

EBSUser (Oracle® E-Business Suite Benutzerkonten)

EX0Mailbox (Microsoft® Exchange Postfächer)

EX0MailUser (Microsoft® Exchange E-Mail Adresse für Benutzerkonten)

EX0MailContact (Microsoft® Exchange E-Mail Adresse für Kontakte)

LDAPAccount (LDAP Benutzerkonten),

NotesUser (IBM® Notes® Benutzerkonten),

SAPUser (SAP® R/3® Benutzerkonten),

SPSUser (SharePoint® Benutzerkonten),

UNSAccountB (Benutzerkonten für kundendefinierte Zielsysteme)

Beispiele für den Einsatz mehrerer Kontendefinitionen innerhalb eines Zielsystemtyps

Grundlagen zur Behandlung von Personen und Benutzerkonten > Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten > Beispiele für den Einsatz mehrerer Kontendefinitionen innerhalb eines Zielsystemtyps

Sollen in einem Zielsystemtyp mehrere Zielsysteme über Kontendefinitionen verwaltet werden, muss pro Zielsystem eine separate Kontendefinition eingerichtet werden. Bei Zuweisung beider Kontendefinitionen an die Person wird durch die anschließende Skript- und Prozessverarbeitung dafür gesorgt, dass die Person ihre Benutzerkonten in beiden Zielsystemen erhält.

Beispiel 1

In einer Active Directory®-Umgebung existieren zwei Domänen. Die Personen können nur in einer der beiden Domänen ein Benutzerkonto besitzen. Anhand der IT Betriebsdaten der Abteilung einer Person wird entschieden, ob das Benutzerkonto in Domäne A oder in Domäne B erstellt wird.

Erstellen Sie eine Kontendefinition A für die Domäne A und eine Kontendefinition B für die Domäne B und weisen Sie den Automatisierungsgrad „Full managed" zu. Dieser Automatisierungsgrad nutzt zur Ermittlung der IT Betriebsdaten die Standardbildungsregeln des One Identity Manager. In der Abbildungsvorschrift der IT Betriebsdaten für beide Kontendefinitionen legen Sie die Eigenschaft "Abteilung" zur Ermittlung der gültigen IT Betriebsdaten fest

Gehört die Person zur Abteilung A, dann erhält Sie (beispielsweise per dynamischer Zuweisung) die Kontendefinition A und daraus resultierend ein Benutzerkonto in Domäne A. Gehört die Person zur Abteilung B, dann wird ihr die Kontendefinition B zugeteilt und sie erhält ein Benutzerkonto in Domäne B.

Abbildung 3: Erzeugung von Benutzerkonten anhand von Kontendefinitionen

Beispiel 2

In einer Active Directory®-Umgebung existieren zwei Domänen. Die Personen können in beiden Domänen ein Benutzerkonto besitzen. Das Benutzerkonto in Domäne A erhält die IT Betriebsdaten über die Abteilung einer Person. Das Benutzerkonto in Domäne B erhält die IT Betriebsdaten über die primäre Geschäftsrolle einer Person.

Erstellen Sie eine Kontendefinition A für die Domäne A und eine Kontendefinition B für die Domäne B und weisen Sie den Automatisierungsgrad "Full managed" zu. Der Automatisierungsgrad „Full managed“ nutzt zur Ermittlung der IT Betriebsdaten die Standardbildungsregeln des One Identity Manager. In der Abbildungsvorschrift der IT Betriebsdaten für Kontendefinition A legen Sie die Eigenschaft "Abteilung" zur Ermittlung der gültigen IT Betriebsdaten fest. In der Abbildungsvorschrift der IT Betriebsdaten für Kontendefinition B legen Sie die Eigenschaft "Geschäftsrolle" zur Ermittlung der gültigen IT Betriebsdaten fest.

Abbildung 4: Erzeugung von Benutzerkonten anhand von Kontendefinitionen

Automatische Zuordnung von Personen zu Benutzerkonten

Grundlagen zur Behandlung von Personen und Benutzerkonten > Automatische Zuordnung von Personen zu Benutzerkonten

Durch die automatische Personenzuordnung können

  • vorhandene Personen an Benutzerkonten zugeordnet werden
  • Personenstammdaten anhand vorhandener Benutzerkonten erzeugt werden

Durch eine Synchronisation werden die Benutzerkonten zunächst initial aus einem Zielsystem in den One Identity Manager eingelesen. Durch anschließende Skript- und Prozessverarbeitung kann die automatische Zuordnung der Benutzerkonten zu bestehenden Personen erfolgen. Gegebenenfalls können neue Personen anhand vorhandener Benutzerkonten erzeugt und den Benutzerkonten zugeordnet werden. Dieses Vorgehen ist jedoch nicht das Standardverfahren für den One Identity Manager. Das Verfahren können Sie einsetzen, um bei der Synchronisation aus den bereits vorhandenen Benutzerkonten eines Zielsystems Personendatensätze zu erstellen.

Schalten Sie das Verfahren im laufenden Betrieb ein, dann erfolgt ab diesem Zeitpunkt die automatische Zuordnung der Personen zu Benutzerkonten. Deaktivieren Sie das Verfahren zu einem späteren Zeitpunkt wieder, wirkt sich diese Änderung nur auf Benutzerkonten aus, die ab diesem Zeitpunkt angelegt oder aktualisiert werden. Bereits vorhandene Zuordnungen von Personen zu Benutzerkonten bleiben bestehen.

Die Kriterien für die automatische Zuordnung eines Benutzerkontos zu einer Person werden unternehmensspezifisch definiert. Personen können bei Bedarf anhand einer Vorschlagsliste direkt an vorhandene Benutzerkonten zugeordnet werden.

Führen Sie folgende Aktionen aus, damit Personen automatisch zugeordnet werden können:

  • Aktivieren Sie im Designer die Konfigurationsparameter für die automatische Zuordnung der Personen zu Benutzerkonten und wählen Sie den gewünschte Modus aus.
  • Definieren Sie die Suchkriterien für die Personenzuordnung.
  • Sollen durch die automatische Personenzuordnung verwaltete Benutzerkonten (Zustand "Linked configured") entstehen, dann weisen Sie dem Zielsystem eine Kontendefinition zu. Stellen Sie sicher, dass der Automatisierungsgrad, der verwendet werden soll, als Standardautomatisierungsgrad eingetragen ist.

    Ist keine Kontendefinition am Zielsystem angegeben, werden die Benutzerkonten nur mit der Person verbunden (Zustand "Linked"). Dies ist beispielsweise bei der initialen Synchronisation der Fall.

Verwandte Themen

Konfigurieren der automatischen Personenzuordnung

In der One Identity Manager Standardinstallation wird die automatische Zuordnung von Personen zu Benutzerkonten über die nachfolgend aufgeführten Konfigurationsparameter gesteuert und ist somit global für einen Zielsystemtyp wirksam. Es wird dabei zwischen dem Verhalten bei Synchronisationen und dem Standardverhalten unterschieden.

HINWEIS:

Für die Synchronisation gilt:

  • Die automatische Personenzuordnung wirkt, wenn Benutzerkonten neu angelegt oder aktualisiert werden.

Außerhalb der Synchronisation gilt:

  • Die automatische Personenzuordnung wirkt, wenn Benutzerkonten neu angelegt werden.

Hinweis: Die Konfigurationsparameter sind in den One Identity Manager Modulen enthalten und stehen zur Verfügung, wenn die Module installiert sind.

Tabelle 5: Konfigurationsparameter für automatische Personenzuordnung
Zielsystemtyp Konfigurationsparameter
Active Directory® TargetSystem\ADS\PersonAutoDefault
TargetSystem\ADS\PersonAutoFullSync
LDAP TargetSystem\LDAP\PersonAutoDefault
TargetSystem\LDAP\PersonAutoFullSync
IBM® Notes® TargetSystem\NDO\PersonAutoDefault
TargetSystem\NDO\PersonAutoFullSsync
SAP® R/3® TargetSystem\SAPR3\PersonAutoDefault
TargetSystem\SAPR3\PersonAutoFullSync
SharePoint® TargetSystem\SharePoint\PersonAutoDefault
TargetSystem\SharePoint\PersonAutoFullSync
Unix-basierte Zielsysteme TargetSystem\Unix\PersonAutoDefault
TargetSystem\Unix\PersonAutoFullSync

Jeder Konfigurationsparameter kennt die zulässigen Modi:

  • NO

    Es erfolgt keine automatische Zuordnung einer Person zum Benutzerkonto. Dies ist der Standardwert, der auch abgebildet wird, wenn der Konfigurationsparameter nicht aktiv ist.

  • SEARCH

    Ist dem Benutzerkonto keine Person zugeordnet, so wird anhand definierter Kriterien nach der passenden Person gesucht und die gefundene Person dem Benutzerkonto zugeordnet. Wird keine Person gefunden, so wird auch keine neue Person angelegt.

  • CREATE

    Ist dem Benutzerkonto keine Person zugeordnet, wird immer eine neue Person angelegt, einige Eigenschaften initialisiert und die Person dem Benutzerkonto zugeordnet.

    Hinweis: Dieser Modus steht für den Zielsystemtyp SharePoint® und Unix-basierte Zielsysteme nicht zur Verfügung.

  • SEARCH AND CREATE

    Ist dem Benutzerkonto keine Person zugeordnet, wird anhand definierter Kriterien nach einer passenden Person gesucht und die gefundene Person dem Benutzerkonto zugeordnet. Wird keine Person gefunden, so werden eine neue Person angelegt, einige Eigenschaften initialisiert und die Person dem Benutzerkonto zugeordnet.

    Hinweis: Dieser Modus steht für den Zielsystemtyp SharePoint® und Unix-basierte Zielsysteme nicht zur Verfügung.

Wird durch den eingesetzten Modus ein Benutzerkonto mit einer Person verbunden, so erhält das Benutzerkonto durch interne Verarbeitung den Standardautomatisierungsgrad der Kontendefinition, die am Zielsystem des Benutzerkontos eingetragen ist. Diesen Automatisierungsgrad können Sie nachträglich ändern.

HINWEIS: Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten Personen erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für das Zielsystem bekannt, werden die Benutzerkonten mit den Personen verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten sind somit im Zustand "Linked" (verbunden).

Um die Benutzerkonten über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.
  2. Weisen Sie dem Zielsystem eine Kontendefinition zu.
  3. Weisen Sie den Benutzerkonten im Zustand "Linked" (verbunden) die Kontendefinition und den Automatisierungsgrad zu.
    1. Wählen Sie die Kategorie Kundendefinierte Zielsysteme | <Zielsystem> | Benutzerkonten | Verbunden aber nicht konfiguriert | <Zielsystem>.
    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.

In den Zielsystemtyp-abhängigen Insert/Update-Prozessen der One Identity Manager Standardinstallation werden die Konfigurationsparameter ausgewertet und so der auszuführende Modus ermittelt. Die Namen der entsprechenden Prozessschritte lauten Search and Create Person for Account bzw. Search and Create Person for Account (Fullsync). Um die automatische Personenzuordnung in den einzelnen Zielsystemen eines Zielsystemtyps, beispielsweise den einzelnen Domänen einer Active Directory®-Umgebung, unterschiedlich einzusetzen, können Sie diese Prozessschritte als Vorlage nutzen.

Related Documents