Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Personen und Benutzerkonten Verwalten kundendefinierter Zielsysteme
One Identity Manager Benutzer für die Verwaltung von kundendefinierten Zielsystemen Einrichten der Skript-gesteuerten Provisionierung der Daten in ein kundendefiniertes Zielsystem Basisdaten für kundendefinierte Zielsysteme Einrichten eines kundendefinierten Zielsystems Verwalten von Containerstrukturen in einem kundendefinierten Zielsystem Verwalten von Benutzerkonten in einem kundendefinierten Zielsystem Verwalten von Gruppen in einem kundendefinierten Zielsystem Erfassen von Berechtigungselementen Nachbehandlung ausstehender Objekte Berichte über kundendefinierte Zielsysteme
Der Unified Namespace Anhang: Konfigurationsparameter für die Verwaltung kundendefinierter Zielsysteme Informationen zu Dell

Dauerhafte Deaktivierung einer Person

Personen können dauerhaft deaktiviert werden, beispielsweise wenn sie aus dem Unternehmen ausscheiden. Dabei kann es erforderlich sein, dass diesen Personen ihre Berechtigungen in den angeschlossenen Zielsystem und ihre Unternehmensressourcen entzogen werden.

Die Auswirkungen der dauerhaften Deaktivierung einer Person sind:

  • Die Person kann nicht als Manager an Personen zugewiesen werden.
  • Die Person kann nicht als Verantwortlicher an Rollen zugewiesen werden.
  • Die Person kann nicht als Eigentümer an Attestierungsrichtlinien zugewiesen werden.
  • Es erfolgt keine Vererbung von Unternehmensressourcen über Rollen, wenn zusätzlich die Option Keine Vererbung an der Person aktiviert ist.
  • Benutzerkonten der Person werden gesperrt oder gelöscht und den Benutzerkonten werden die Gruppenmitgliedschaften entzogen.

Die dauerhafte Deaktivierung einer Person wird ausgelöst über:

  • die Aufgabe Person dauerhaft deaktivieren

    Die Aufgabe sorgt dafür, dass die Option Dauerhaft deaktiviert aktiviert wird und das Austrittsdatum und das Datum des letzten Arbeitstages auf den aktuellen Tag gesetzt werden.

  • das Erreichen des Austrittsdatums

    Hinweis: Konfigurieren und aktivieren Sie im Designer den Zeitplan "Benutzerkonten ausgeschiedener Personen sperren". Dieser Zeitplan prüft das Austrittsdatum und setzt bei Erreichen des Austrittsdatums die Option Dauerhaft deaktiviert.

    Hinweis: Die Aufgabe Person erneut aktivieren sorgt dafür, dass die Person wieder aktiviert wird.

  • den Zertifizierungsstatus "Abgelehnt"

    Wenn der Zertifizierungsstatus einer Person durch Attestierung oder manuell auf "Abgelehnt" gesetzt wird, wird die Person sofort dauerhaft deaktiviert. Wird der Zertifizierungsstatus auf "Zertifiziert" geändert, wird die Person wieder aktiviert.

    Hinweis: Diese Funktion steht zur Verfügung, wenn das Modul Attestierung vorhanden ist.

Szenario: Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen die zeitweilige Deaktivierung der Person auf die Benutzerkonten haben soll.

Szenario: Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

  • Legen Sie das gewünschte Verhalten über den Konfigurationsparameter „QER\Person\TemporaryDeactivation“ fest. Ist der Konfigurationsparameter aktiviert, werden für die Zeit der zeitweiligen Deaktivierung die Benutzerkonten der Person gesperrt. Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der verbundenen Person keinen Einfluss auf die Benutzerkonten.
Verwandte Themen

Verzögertes Löschen einer Person

Beim Löschen einer Person wird geprüft, ob der Person noch Benutzerkonten und Unternehmensressourcen zugeordnet sind oder ob Bestellungen im IT Shop offen sind. Die Person wird zum Löschen markiert und somit für jede weitere Bearbeitung gesperrt. Bevor eine Person endgültig aus der One Identity Manager Datenbank gelöscht werden kann, müssen sämtliche Zuweisungen von Unternehmensressourcen entfernt und Bestellungen abgeschlossen werden. Führen Sie diese Aufgabe manuell durch oder implementieren Sie unternehmensspezifische Prozesse. Alle mit einer Person verbundenen Benutzerkonten können unter bestimmten Voraussetzung standardmäßig durch den One Identity Manager gelöscht werden, sobald eine Person gelöscht wird. Wenn der Person keine weiteren Unternehmensressourcen zugewiesen sind, wird danach auch die Person endgültig gelöscht.

Szenario: Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen das Löschen der Person auf die Benutzerkonten haben soll. Die Benutzerkonten können für die Zeit der Löschverzögerung gesperrt werden oder aktiviert bleiben. In jedem Fall werden die Benutzerkonten nach Ablauf der Löschverzögerung aus der One Identity Manager Datenbank gelöscht.

Szenario: Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

  • Implementieren Sie unternehmensspezifische Prozesse, um die verbundenen Benutzerkonten zu löschen. Die Person bleibt solange zum Löschen markiert, bis sämtliche Benutzerkonten gelöscht und die Zuweisungen übriger Unternehmensressourcen entfernt wurden. Die Benutzerkonten bleiben beim verzögerten Löschen aktiviert bis sie physisch gelöscht werden.
Verwandte Themen

Deaktivieren und Löschen über Kontendefinitionen

Werden die Benutzerkonten über Kontendefinitionen verwaltet, dann können Sie das gewünschte Verhalten für die Behandlung der Benutzerkonten und Gruppenmitgliedschaften bei zeitweiliger Deaktivierung, dauerhafter Deaktivierung, Löschen und Sicherheitsgefährdung von Personen über die Kontendefinitionen und Automatisierungsgrade festlegen.

Durch den Zusammenhang eines Zielsystems mit einer Kontendefinition können Sie für jedes Zielsystem eines Zielsystemtyps eine gesonderte Behandlung definieren. Weitere Informationen finden Sie unter Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten.

Folgende Verhalten können konfiguriert werden:

  1. Zuweisung von Kontendefinitionen an Personen

    Für jede Kontendefinition wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf Zuweisung der Kontendefinition selbst auswirken soll. Die Einstellungen eventueller Vorgängerkontendefinitionen werden dabei überschrieben.

    Die Zuweisung von Kontendefinitionen an deaktivierte Personen kann beispielsweise gewünscht sein, um bei späterer Aktivierung der Person sicherzustellen, dass sofort alle erforderlichen Berechtigungen ohne Zeitverlust zur Verfügung stehen.

    Wichtig: Solange eine Kontendefinition für eine Person wirksam ist, behält die Person ihre verbundenen Benutzerkonten. Wird die Zuweisung einer Kontendefinition nicht mehr wirksam, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht.

    Zur Abbildung des Verhaltens stehen an einer Kontendefinition die folgenden Optionen zur Verfügung.

    Tabelle 8: Stammdaten einer Kontendefinition zum Zuweisungsverhalten der Kontendefinition
    Eigenschaft Beschreibung

    Kontendefinition bei dauerhafter Deaktivierung beibehalten

    Angabe zur Zuweisung der Kontendefinition an dauerhaft deaktivierte Personen.

    Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

    Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

    Kontendefinition bei zeitweiliger Deaktivierung beibehalten

    Angabe zur Zuweisung der Kontendefinition an zeitweilig deaktivierte Personen.

    Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

    Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

    Kontendefinition bei verzögertem Löschen beibehalten

    Angabe zur Zuweisung der Kontendefinition bei verzögertem Löschen von Personen.

    Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

    Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

    Kontendefinition bei Sicherheitsgefährdung beibehalten

    Angabe zur Zuweisung der Kontendefinition an sicherheitsgefährdende Personen.

    Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

    Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

  2. Behandlung von Benutzerkonten von Personen

    Für jeden Automatisierungsgrad wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten auswirken soll.

    Um bei Deaktivierung oder Löschen einer Person die Berechtigungen zu entziehen, können die Benutzerkonten der Person gesperrt werden. Wird die Person zu einem späteren Zeitpunkt wieder aktiviert, werden ihre Benutzerkonten ebenfalls wieder freigeschaltet.

    Zur Behandlung der Benutzerkonten sind an einer Kontendefinition für jeden Automatisierungsgrad die folgenden Optionen verfügbar.

    Tabelle 9: Stammdaten eines Automatisierungsgrades zur Behandlung von Benutzerkonten
    Eigenschaft Beschreibung

    Benutzerkonten bei zeitweiliger Deaktivierung sperren

    Angabe, ob die Benutzerkonten zeitweilig deaktivierter Personen gesperrt werden sollen.

    Benutzerkonten bei dauerhafter Deaktivierung sperren

    Angabe, ob die Benutzerkonten dauerhaft deaktivierter Personen gesperrt werden sollen.

    Benutzerkonten bei verzögertem Löschen sperren

    Angabe, ob die Benutzerkonten zum Löschen markierter Personen gesperrt werden sollen.

    Benutzerkonten bei Sicherheitsgefährdung sperren

    Angabe, ob die Benutzerkonten von sicherheitsgefährdenden Personen gesperrt werden sollen.

  3. Vererbung von Gruppenmitgliedschaften an die Benutzerkonten der Personen

    Für jeden Automatisierungsgrad wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf die Gruppenmitgliedschaften der Benutzerkonten auswirken soll.

    Ist eine Person deaktiviert oder zum Löschen markiert, so können Sie für das Zielsystem einer Kontendefinition die Vererbung der Gruppenmitgliedschaften unterbinden. Dieses Verhalten kann gewünscht sein, wenn die Benutzerkonten und Postfächer einer Person gesperrt sind und somit auch nicht in Verteilerlisten Mitglied sein dürfen. Während der Zeit der Deaktivierung sollten keine Vererbungsvorgänge für diese Personen berechnet werden. Bestehende Gruppenmitgliedschaften werden gelöscht.

    Zur Behandlung der Gruppenmitgliedschaften sind an einer Kontendefinition für jeden Automatisierungsgrad die folgenden Optionen verfügbar.

    Tabelle 10: Stammdaten einer Automatisierungsgrades zur Behandlung von Gruppenmitgliedschaften
    Eigenschaft Beschreibung

    Gruppen bei zeitweiliger Deaktivierung beibehalten

    Angabe, ob die Benutzerkonten zeitweilig deaktivierter Personen ihre Gruppenmitgliedschaften behalten sollen.

    Gruppen bei dauerhafter Deaktivierung beibehalten

    Angabe, ob Benutzerkonten dauerhaft deaktivierter Personen Gruppenmitgliedschaften erben sollen.

    Gruppen bei verzögertem Löschen beibehalten

    Angabe, ob die Benutzerkonten zum Löschen markierter Personen ihre Gruppenmitgliedschaften behalten sollen.

    Gruppen bei Sicherheitsgefährdung beibehalten

    Angabe, ob die Benutzerkonten von sicherheitsgefährdenden Personen ihre Gruppenmitgliedschaften behalten sollen.

    Gruppen bei deaktiviertem Benutzerkonto beibehalten

    Angabe, ob deaktivierte Benutzerkonten ihre Gruppenmitgliedschaften behalten sollen.

Verwalten kundendefinierter Zielsysteme

Verwalten kundendefinierter Zielsysteme

Im One Identity Manager können neben den nativ unterstützten Zielsystemen auch eigene Anwendungen, wie beispielsweise eine Telefonanlage, abgebildet werden. Um diese Zielsysteme mit dem One Identity Manager zu verwalten, erstellen Sie Containerstrukturen, Benutzerkonten und Gruppen.

Um Daten zwischen dem Zielsystem und der One Identity Manager-Datenbank auszutauschen, definieren Sie unternehmensspezifische Prozesse.

  • Für die Provisionierung der Daten stellt der One Identity Manager in der Standardinstallation vordefinierte Prozesse bereit. Die Prozesse verwenden Skripte zur Provisionierung der Daten. Da jedes kundendefinierte Zielsystem eine andere Abbildung der Daten erfordert, muss die Provisionierung der Daten aus dem One Identity Manager in das kundendefinierte Zielsystem angepasst werden.
  • Alternativ können Datenimporte mit dem Programm "Data Import" konfigurieren oder im Synchronization Editor eine Synchronisation mittels CSV Konnektor einrichten. Dies erfordert umfangreiche kundenspezifische Anpassungen. .

Die One Identity Manager Bestandteile für die Verwaltung von kundendefinierten Zielsystemen sind verfügbar, wenn der Konfigurationsparameter "TargetSystem\UNS" aktiviert ist.

  • Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.

  • Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.

Related Documents