Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Personen und Benutzerkonten Verwalten kundendefinierter Zielsysteme
One Identity Manager Benutzer für die Verwaltung von kundendefinierten Zielsystemen Einrichten der Skript-gesteuerten Provisionierung der Daten in ein kundendefiniertes Zielsystem Basisdaten für kundendefinierte Zielsysteme Einrichten eines kundendefinierten Zielsystems Verwalten von Containerstrukturen in einem kundendefinierten Zielsystem Verwalten von Benutzerkonten in einem kundendefinierten Zielsystem Verwalten von Gruppen in einem kundendefinierten Zielsystem Erfassen von Berechtigungselementen Nachbehandlung ausstehender Objekte Berichte über kundendefinierte Zielsysteme
Der Unified Namespace Anhang: Konfigurationsparameter für die Verwaltung kundendefinierter Zielsysteme Informationen zu Dell

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

Grundlagen zur Behandlung von Personen und Benutzerkonten > Automatische Zuordnung von Personen zu Benutzerkonten > Bearbeiten der Suchkriterien für die automatische Personenzuordnung

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

Die Kriterien für die Personenzuordnung werden an den Zielsystemen definiert. Dabei legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person dem Benutzerkonto zugeordnet werden kann. Die Suchkriterien können Sie durch Formatdefinitionen weiter einschränken. Das zusammengestellte Suchkriterium wird in XML-Notation in die Spalte „Suchkriterien für die automatische Personenzuordnung“ (AccountToPersonMatchingRule) der Zielsystem-Tabelle geschrieben.

Suchkriterien werden bei der automatischen Zuordnung von Personen zu Benutzerkonten ausgewertet. Darüber hinaus können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen.

HINWEIS: Bei der Zuordnung der Personen zu Benutzerkonten anhand der Suchkriterien erhalten die Benutzerkonten den Standardautomatisierungsgrad der Kontendefinition, die am Zielsystem des Benutzerkontos eingetragen ist. Abhängig davon, wie das Verhalten des verwendeten Automatisierungsgrades definiert ist, können Eigenschaften der Benutzerkonten angepasst werden.

Für administrative Benutzerkonten wird empfohlen, die Zuordnung nicht anhand der Suchkriterien vorzunehmen. Ordnen Sie Personen zu administrativen Benutzerkonten über die Aufgabe Stammdaten bearbeiten am jeweiligen Benutzerkonto zu.

HINWEIS: Der One Identity Manager liefert ein Standardmapping für die Personenzuordnung. Führen Sie die folgenden Schritte nur aus, wenn Sie das Standardmapping unternehmensspezifisch anpassen möchten.

So öffnen Sie das Formular für die Personenzuordnung:

  1. Kategorie Zielsystemtyp | <Zielsystem> öffnen.
  2. Das Zielsystem in der Ergebnisliste auswählen.
  3. Aufgabe Suchkriterien für die Personenzuordnung definieren klicken.

Abbildung 5: Suchkriterien für die Personenzuordnung definieren

Um ein neues Suchkriterium für die Personenzuordnung zu definieren:

  1. Wählen Sie einen Objekttyp für das Mapping aus.

    Objekttypen sind Benutzerkonten mit bestimmten Eigenschaften, beispielsweise „Active Directory® Kontakte“ oder „aktive Notes Benutzerkonten“.

    1. Um einen neuen Objekttyp hinzuzufügen, klicken Sie Hinzufügen | Kriterium. Wählen Sie über die Auswahlliste Anwenden auf den Objekttyp aus, für den das Suchkriterium definiert werden soll.

      Wenn kein Objekttyp ausgewählt wird, wird das Suchkriterium auf alle Benutzerkonten angewendet.

    2. Um den Objekttyp eines vorhandenen Suchkriteriums zu ändern, markieren Sie im Bereich "Suchkriterien" das Suchkriterium. Wählen Sie über die Auswahlliste Anwenden auf den Objekttyp aus, für den das Suchkriterium definiert werden soll.

      Wenn die bestehende Auswahl entfernt wird, wird das Suchkriterium auf alle Benutzerkonten angewendet.

  2. Wählen Sie die Objekteigenschaften für das Mapping aus.
    • Spalte an Person

      Wählen Sie die Spalte an der Tabelle Person, auf der die Suche ausgeführt wird.

    • Spalte am Benutzerkonto

      Wählen Sie die Spalte an der Benutzerkonten-Tabelle, die den Wert für die Suche einer Person liefert.

  3. Definieren Sie Formatregeln, um das Suchkriterium einzuschränken.

    Wählen Sie im Menü Format hinzufügen eine Formatvorlage aus. Definieren Sie Formatregeln, die auf die zu suchende Zeichenkette angewendet werden sollen. Es können mehrere Formatvorlagen kombiniert werden.

    Tabelle 6: Formatvorlagen
    Formatvorlage Bedeutung
    Zeichenbereich Zeichen der Zeichenkette, die als Suchkriterium genutzt werden sollen.
    Beschneide auf feste Länge Länge der zu suchenden Zeichenkette fest. Damit die feste Länge erreicht wird, kann die Zeichenkette am Beginn oder am Ende mit Füllzeichen ergänzt werden.
    Führende oder folgende Zeichen entfernen Zeichen, die am Anfang oder am Ende der Zeichenkette entfernt werden sollen. Die verbleibende Zeichenkette bildet das Suchkriterium.
    Zerteile Wert Zeichen, bei welchem die Zeichenkette geteilt werden soll und welcher der verbleibenden Teile als Suchkriterium genutzt werden soll.
  4. Testen Sie die Formatregeln.

    Erfassen Sie im Bereich "Formatierungsvorschau" eine Zeichenkette, auf die die Formatierung angewendet wird. So können Sie die Auswirkungen Ihrer Formatierung auf das Suchkriterium testen.

  5. Wenden Sie die Formatregeln an.

    Aktivieren Sie Formatierung anwenden an den Spalten, für die das Suchkriterium eingeschränkt werden soll.

  6. Speichern Sie die Änderungen.

Für ein Suchkriterium können verschiedene Objekteigenschaften verknüpft werden. Dabei können sowohl UND- als auch ODER-Verknüpfungen realisiert werden.

Beispiel für eine UND-Verknüpfung

Um Personen an Notes Benutzerkonten zuzuordnen, müssen sowohl der Nachname als auch der Vorname von Person und Benutzerkonto identisch sein. Folgende Tabellenspalten werden gemappt:

UND

Person.Firstname – NotesUser.Firstname

Person.LastName – NotesUser.LastName

Beispiel für eine ODER-Verknüpfung

Um Personen an Active Directory® Benutzerkonten zuzuordnen, müssen entweder das zentrale Benutzerkonto der Person und der Anmeldename des Benutzerkontos identisch sein oder der vollständige Name der Person und der Anzeigename des Benutzerkontos. Folgende Tabellenspalten werden gemappt:

ODER

Person.CentralAccount – ADSAccount.SAMAccountName

Person.InternalName – ADSAccount.DisplayName

Um Objekteigenschaften für ein Suchkriterium zu verknüpfen

  1. Markieren Sie im Bereich "Suchkriterien" den Operator, zu dem eine weitere Objekteigenschaft hinzugefügt werden soll. Klicken Sie Operator ändern, um den Operator für die Verknüpfung auszuwählen.
  2. Klicken Sie Hinzufügen | Kriterium.
  3. Wählen Sie die Objekteigenschaften für das Mapping aus.
  4. Definieren Sie Formatregeln und wenden Sie diese an.
  5. Wenn Sie Verknüpfungen verschachteln wollen, klicken Sie Hinzufügen | UND-Operator oder Hinzufügen | ODER-Operator und führen Sie die Schritte 2 bis 4 erneut aus.
  6. Speichern Sie die Änderungen.

Um ein Suchkriterium zu löschen

  1. Markieren Sie das Suchkriterium und klicken Sie Entfernen.
  2. Speichern Sie die Änderungen.
Direkte Zuordnung von Personen an Benutzerkonten anhand einer Vorschlagsliste

Im Bereich "Zuordnungen" können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen. Die Benutzerkonten sind dafür in verschiedenen Ansichten zusammengestellt.

Tabelle 7: Ansichten zur manuellen Zuordnung
Ansicht Beschreibung
Vorgeschlagene Zuordnungen Die Ansicht listet alle Benutzerkonten auf, denen der One Identity Manager eine Person zuordnen kann. Dazu werden die Personen angezeigt, die durch die Suchkriterien ermittelt und zugeordnet werden können.
Zugeordnete Benutzerkonten Die Ansicht listet alle Benutzerkonten auf, denen eine Person zugeordnet ist.
Ohne Personenzuordnung Die Ansicht listet alle Benutzerkonten auf, denen keine Person zugeordnet ist und für die über die Suchkriterien keine passende Person ermittelt werden kann.

TIPP: Mit Maus-Doppelklick auf einen Eintrag in den Ansichten werden das Benutzerkonto und die Person geöffnet und Sie können die Stammdaten einsehen.

Um die Suchkriterien auf die Benutzerkonten anzuwenden

  • Klicken Sie Neu laden.

    Für alle Benutzerkonten im Zielsystem werden die möglichen Zuordnungen anhand der Suchkriterien ermittelt. Die drei Ansichten werden aktualisiert.

Um Personen direkt über die Vorschlagsliste zuzuordnen

  1. Klicken Sie Vorgeschlagene Zuordnungen.
    1. Klicken Sie Auswahl für alle Benutzerkonten, denen die vorgeschlagene Person zugeordnet werden soll. Eine Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte zuweisen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die per Suchkriterium ermittelten Personen zugeordnet.

    – ODER –

  2. Klicken Sie Ohne Personenzuordnung.
    1. Klicken Sie Person auswählen... für das Benutzerkonto, dem eine Person zugeordnet werden soll. Wählen Sie eine Person aus der Auswahlliste.
    2. Klicken Sie Auswahl für alle Benutzerkonten, denen die ausgewählten Personen zugeordnet werden sollen. Eine Mehrfachauswahl ist möglich.
    3. Klicken Sie Ausgewählte zuweisen.
    4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die Personen zugeordnet, die in der Spalte "Person" angezeigt werden.

Um Zuordnungen zu entfernen

  1. Klicken Sie Zugeordnete Benutzerkonten.
    1. Klicken Sie Auswahl für alle Benutzerkonten, deren Personenzuordnung entfernt werden soll. Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte entfernen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Von den ausgewählten Benutzerkonten werden die zugeordneten Personen entfernt.

Anpassen der Skripte für die automatische Personenzuordnung

Die automatische Personenzuordnung wird durch Skripte gesteuert. Diese Skripte ordnen im Modus „SEARCH“ anhand der definierten Suchkriterien vorhandene Personen an die Benutzerkonten zu. Darüber hinaus definieren die Skripte für den Modus „CREATE“ die Eigenschaften, die bei Erzeugung einer neuen Person initialisiert werden. Diese Skripte sind in einer One Identity Manager Standardinstallation für jeden Zielsystemtyp implementiert. Der Name der Skripte lautet:

<Zielsystemtyp>_PersonAuto_Mapping_<Kontotyp>

wobei:

<Zielsystemtyp> = Kurzbezeichnung des angesprochenen Zielsystemtyps

<Kontotyp> = Tabelle, welche die Benutzerkonten enthält

TIPP: Um die Suchkriterien für die automatische Personenzuordnung oder die Eigenschaften der neu zu erzeugenden Personen zu erweitern, können Sie die Skripte unternehmensspezifisch anpassen. Die Skripte sind überschreibbar. Erstellen Sie dafür eine Kopie eines vorhandenen Skripts und erweitern Sie die Kopie unternehmensspezifisch.

Bei der automatischen Personenzuordnung im Modus „CREATE“ werden einige Eigenschaften des Benutzerkontos an das neue Personenobjekt übergeben. Diese Personeneigenschaften werden ebenfalls über die Skripte definiert. Die Initialisierung von Eigenschaften bei der Erzeugung einer Person zu einem Benutzerkonto erfolgt dabei über die Auswertung der Einträge in der Tabelle DialogNotification. In dieser Tabelle werden die über Bildungsregeln verbundenen Eigenschaften als Sender-Empfänger-Paar abgebildet. Die Auswertung der Einträge in DialogNotification ist nachfolgend beispielhaft für die Initialisierung des Nachnamens einer Person erläutert.

Beispiel:

Der Nachname eines Active Directory® Benutzerkontos wird aus dem Nachnamen der Person gebildet.

Bildungsregel auf ADSAccount.Surname:

Value = $FK(UID_Person).Lastname$

Erfolgt eine Änderung des Nachnamens der Person wird der Nachname des Active Directory® Benutzerkontos ebenfalls geändert. Die Spalte Person.Lastname ist somit der Sender und die Spalte ADSAccount.Surname ist der Empfänger.

Beziehung laut Tabelle DialogNotification:

Person.Lastname -- > ADSAccount.Surname

Die Tabelle DialogNotification kann beim Initialisieren der Eigenschaften einer neuen Person zur Hilfe genommen werden, indem diese Beziehungen rückwärts aufgelöst werden. Der Nachname der Person kann durch den Nachnamen des Active Directory® Benutzerkontos bestückt werden. Damit können also bereits einige Vorbesetzungen für das Personenobjekt automatisch generiert werden. Allerdings können nur eineindeutige Beziehungen aufgelöst werden.

Beispiel:

Der Anzeigename eines Active Directory® Benutzerkontos soll aus dem Nachnamen und dem Vornamen einer Person gebildet werden.

Beziehungen laut Tabelle DialogNotification:

Person.Lastname -- > ADSAccount.Displayname

Person.Firstname -- > ADSAccount.Displayname

Hier können Person.Firstname und Person.Lastname nicht aus ADSAccount.Displayname ermittelt werden, da dieser ein zusammengesetzter Wert ist.

Um das Mapping von Benutzerkontoeigenschaften auf Personeneigenschaften zu erleichtern, können Sie das Skript VI_PersonAuto_GetPropMappings nutzen. Das Skript wertet die Beziehungen von Eigenschaften unter Nutzung der Tabelle DialogNotification aus. Das Skript erzeugt bei Ausführung über den System Debugger einen VB.Net Skriptcode mit den möglichen Zuweisungen. Diesen Code können Sie dann in das jeweilige Skript <Zielsystemtyp>_PersonAuto_Mapping_<Kontotyp> einfügen.

Beispielausgabe des Skripts VI_PersonAuto_GetPropMappings

' PROPERTY MAPPINGS ADSAccount - Person

' ADSAccount.Initials -- > Person.Initials

' ADSAccount.Department -- > Person.UID_Department

...

Try

Person("Initials").NewValue = Acc.GetValue("Initials").String

Catch ex As Exception

End Try

Try

Person("UID_Department").NewValue = Acc.GetValue("Department").String

Catch ex As Exception

End Try

...

Deaktivieren und Löschen von Personen und Benutzerkonten

Grundlagen zur Behandlung von Personen und Benutzerkonten > Deaktivieren und Löschen von Personen und Benutzerkonten

Der Umgang mit Personen, vor allem beim dauerhaften oder zeitweisen Ausscheiden einer Person aus dem Unternehmen, wird in den einzelnen Unternehmen unterschiedlich gehandhabt. Es gibt Unternehmen, die Personen nie löschen, sondern nur deaktivieren, wenn sie das Unternehmen verlassen. Andere Unternehmen wollen Personen löschen, jedoch erst dann, wenn sichergestellt ist, dass alle Benutzerkonten gelöscht wurden.

Wie Benutzerkonten behandelt werden, wenn Personen deaktiviert oder gelöscht werden, ist abhängig von der Art der Verwaltung der Benutzerkonten. Es gelten folgende Szenarien:

  1. Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.
  2. Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

Folgende Verfahren sind in der Standardinstallation des One Identity Manager verfügbar:

Zeitweilige Deaktivierung einer Person

Die Person ist momentan nicht im Unternehmen, mit der Rückkehr wird zu einem definierten Termin gerechnet. Das gewünschte Verhalten kann sein, dass die Benutzerkonten gesperrt werden und alle Gruppenmitgliedschaften entzogen werden. Oder es sollen die Benutzerkonten gelöscht, bei Wiedereintritt jedoch wieder hergestellt werden, wenn auch mit einer neuen System Identifikationsnummer (SID).

Die zeitweilige Deaktivierung einer Person wird ausgelöst durch:

  • die Option Zeitweilig deaktiviert
  • das Start- und Enddatum der Deaktivierung (Zeitweilig deaktiviert ab und Zeitweilig deaktiviert bis)

Hinweis: Konfigurieren und aktivieren Sie im Designer den Zeitplan "Benutzerkonten ausgeschiedener Personen sperren". Dieser Zeitplan prüft das Startdatum der Deaktivierung und setzt bei Erreichen des Startdatums die Option Zeitweilig deaktiviert.

Hinweis: Konfigurieren und aktivieren Sie im Designer den Zeitplan "Zeitweise deaktivierte Benutzerkonten aktivieren". Dieser Zeitplan überwacht das Enddatum der Deaktivierung und aktiviert bei Ablauf des Datums die Person und ihre Benutzerkonten wieder. Benutzerkonten einer Person, die bereits vor einer zeitweiligen Deaktivierung der Person deaktiviert waren, werden nach Ablauf des Zeitraumes ebenfalls wieder aktiviert.

Szenario: Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen die zeitweilige Deaktivierung der Person auf die Benutzerkonten haben soll.

Szenario: Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

  • Legen Sie das gewünschte Verhalten über den Konfigurationsparameter „QER\Person\TemporaryDeactivation“ fest. Ist der Konfigurationsparameter aktiviert, werden für die Zeit der zeitweiligen Deaktivierung die Benutzerkonten der Person gesperrt. Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der verbundenen Person keinen Einfluss auf die Benutzerkonten.
Verwandte Themen
Related Documents