Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Personen und Benutzerkonten Verwalten kundendefinierter Zielsysteme
One Identity Manager Benutzer für die Verwaltung von kundendefinierten Zielsystemen Einrichten der Skript-gesteuerten Provisionierung der Daten in ein kundendefiniertes Zielsystem Basisdaten für kundendefinierte Zielsysteme Einrichten eines kundendefinierten Zielsystems Verwalten von Containerstrukturen in einem kundendefinierten Zielsystem Verwalten von Benutzerkonten in einem kundendefinierten Zielsystem Verwalten von Gruppen in einem kundendefinierten Zielsystem Erfassen von Berechtigungselementen Nachbehandlung ausstehender Objekte Berichte über kundendefinierte Zielsysteme
Der Unified Namespace Anhang: Konfigurationsparameter für die Verwaltung kundendefinierter Zielsysteme Informationen zu Dell

Grundlagen zur Behandlung von Personen und Benutzerkonten

Grundlagen zur Behandlung von Personen und Benutzerkonten

Zentraler Bestandteil des One Identity Manager ist die Abbildung von Personen mit ihren Stammdaten sowie den Berechtigungen, über die sie in verschiedenen Zielsystemen verfügen. Zu diesem Zweck können Informationen über Benutzerkonten und Berechtigungen aus den Zielsystemen in die One Identity Manager Datenbank eingelesen und mit den Personen verbunden werden. Für jede Person kann damit ein Überblick über ihre Berechtigungen in allen angebundenen Zielsystemen gewonnen werden. Der One Identity Manager bietet die Möglichkeit Benutzerkonten und ihre Berechtigungen zu verwalten. Änderungen können in die Zielsysteme provisioniert werden. Die Personen werden so entsprechend ihrer Funktion mit den benötigten Berechtigungen in den angebundenen Zielsystemen versorgt. Regelmäßige Synchronisationsprozesse halten die Daten zwischen den Zielsystemen und der One Identity Manager Datenbank konsistent.

Da die Anforderungen von Unternehmen zu Unternehmen unterschiedlich sind, bietet der One Identity Manager verschiedene Verfahren zur Versorgung einer Person mit den benötigten Benutzerkonten an. Der One Identity Manager unterstützt die folgenden Vorgehensweisen, um Personen und ihre Benutzerkonten zu verknüpfen:

  • Personen erhalten ihre Benutzerkonten automatisch über One Identity Manager Kontendefinitionen.
  • Beim Einfügen eines Benutzerkontos in den One Identity Manager wird automatisch eine vorhandene Person ermittelt und zugeordnet oder im Bedarfsfall eine neue Person erstellt.
  • Personen und Benutzerkonten werden im One Identity Manager manuell erfasst und einander zugeordnet.

Administration von Personen und Benutzerkonten

Grundlagen zur Behandlung von Personen und Benutzerkonten > Administration von Personen und Benutzerkonten

Die Anforderungen an die Benutzerverwaltung in einem Unternehmen sind oft nicht nur in den vorhandenen Zielsystemtypen unterschiedlich, sondern auch in den einzelnen Zielsystemen eines Zielsystemtyps.

Die Anforderungen an die Administration der Benutzerkonten können beispielsweise folgendermaßen aussehen:

Zielsystemtyp Active Directory® mit Microsoft® Exchange

  • In der Domäne A soll automatisch für jede interne Person ein Benutzerkonto erzeugt werden. Die Informationen zum Container und Homeserver richten sich nach der Abteilung und dem Standort der Person. Jedes Benutzerkonto der Domäne erhält automatisch ein Microsoft® Exchange Postfach.
  • In der Domäne B werden die Benutzerkonten unabhängig von Personendaten verwaltet. Microsoft® Exchange Postfächer können nur über ein Bestellverfahren vergeben werden.

Zielsystemtyp IBM® Notes®

  • Alle Personen der Abteilung „Vertrieb“ erhalten automatisch ein IBM® Notes® Postfach. Die Personen der anderen Abteilungen können ein IBM® Notes® Postfach bestellen. Die Eigenschaften des IBM® Notes® Postfaches werden abhängig von der Abteilung der Person ermittelt.

Zielsystemtyp SAP® R/3®

  • Alle Personen der Personalabteilung erhalten automatisch ein Benutzerkonto im SAP Mandanten 101.
  • Die Personen der Abteilung „Bestellwesen“ erhalten automatisch ein Benutzerkonto im SAP Mandanten 102, sobald ihnen die entsprechende Rolle zugewiesen wurde.
  • Die Benutzerkonten für den SAP Mandanten 103 werden ausschließlich über ein Bestellverfahren vergeben.

Für die Zuordnung von Benutzerkonten zu Personen bedient sich der One Identity Manager verschiedener Mechanismen.

Initiale Zuordnung von Benutzerkonten

Die Benutzerkonten werden durch eine Synchronisation zunächst initial aus einem Zielsystem in den One Identity Manager eingelesen. Dabei kann bereits die automatische Zuordnung der Benutzerkonten zu bestehenden Personen erfolgen. Gegebenenfalls können neue Personen erzeugt werden und den Benutzerkonten zugeordnet werden. Die Kriterien für diese automatische Zuordnung eines Benutzerkontos zu einer Person werden unternehmensspezifisch definiert. Nach einer Prüfung der Benutzerkonten kann über Kontendefinitionen der Umfang der Eigenschaften, die eine Person an ihr Benutzerkonto vererbt, gesteuert werden. Dadurch wird bei Änderungen am System ein Verlust von Benutzerkonten vermieden. Die Prüfung der Benutzerkonten kann manuell oder skriptgesteuert erfolgen.

Zuordnung von Benutzerkonten im laufenden Betrieb

Um im laufenden Betrieb Benutzerkonten an Personen zu vergeben, verwendet der One Identity Manager Kontendefinitionen. Kontendefinitionen können für jedes Zielsystem der eingesetzten Zielsystemtypen erzeugt werden, beispielsweise für die unterschiedlichen Domänen einer Active Directory®-Umgebung oder die einzelnen Mandanten eines SAP® R/3®-Systems. Um sicherzustellen, dass beispielsweise ein Microsoft® Exchange Postfach erst erzeugt wird, wenn auch ein Active Directory® Benutzerkonto vorhanden ist, erhalten die Kontendefinitionen eine Priorität.

Durch die direkte Zuweisung der Kontendefinition an eine Person oder durch Zuweisung der Kontendefinition an Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen kann eine Person über die integrierten Vererbungsmechanismen ein Benutzerkonto erhalten. Kontendefinitionen können automatisch an alle Personen eines Unternehmens zugewiesen werden, unabhängig von ihrer Zugehörigkeit zu Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen. Es ist im One Identity Manager möglich die Kontendefinitionen als bestellbare Artikel dem IT Shop zuzuordnen. Der Abteilungsleiter kann dann für seine Mitarbeiter Benutzerkonten über das Web Portal bestellen.

Behandlung der Benutzerkonten und Personendaten bei Deaktivierung

Der Umgang mit Personendaten, vor allem beim dauerhaften oder zeitweisen Ausscheiden einer Person aus dem Unternehmen, wird in den einzelnen Unternehmen unterschiedlich gehandhabt. Es gibt Unternehmen, die Personendaten nie löschen, sondern diese nur deaktivieren, wenn die Person das Unternehmen verlässt. Andere Unternehmen wollen die Personendaten löschen, jedoch erst dann, wenn sichergestellt ist, dass alle Benutzerkonten der Person gelöscht wurden.

Behandlung von Personen und Benutzerkonten

Grundlagen zur Behandlung von Personen und Benutzerkonten > Behandlung von Personen und Benutzerkonten

Die Anforderungen an die Benutzerverwaltung in einem Unternehmen sind oft nicht nur in den vorhandenen Zielsystemtypen unterschiedlich, sondern auch in den einzelnen Zielsystemen eines Zielsystemtyps. Selbst innerhalb eines Zielsystems kann es für unterschiedliche Benutzergruppen unterschiedliche Regeln geben. So können beispielsweise in den einzelnen Domänen innerhalb einer Active Directory®-Umgebung unterschiedliche Regeln zur Vergabe von Benutzerkonten gelten.

Eine Anforderung könnte beispielsweise wie folgt aussehen:

  • In der Domäne A werden die Benutzerkonten unabhängig von Personendaten verwaltet.
  • In der Domäne B werden die Benutzerkonten mit einer Person verbunden. Es ist jedoch keine Übernahme der Personenstammdaten an die Benutzerkonten erwünscht.
  • In der Domäne C soll automatisch für jede interne Person ein Benutzerkonto erzeugt werden. Die Informationen zum Container, Homeserver und Profilserver richten sich nach der Abteilung und dem Standort der Person.

Um die einzelnen Anforderungen an die Benutzerverwaltung zu erfüllen, können die Benutzerkonten zunächst in Kategorien eingeteilt werden:

  • Unlinked (nicht verbunden)

    Die Benutzerkonten haben keine Verbindung zur Person.

  • Linked (verbunden)

    Die Benutzerkonten haben eine Verbindung zur Person.

  • Linked configured (verbunden mit Konfiguration der Verbindung)

    Die Benutzerkonten haben eine Verbindung zur Person. Über eine Kontendefinition und deren Automatisierungsgrade kann die Auswirkung der Verbindung und der Umfang der vererbten Eigenschaften der Person an die Benutzerkonten konfiguriert werden.

    Der One Identity Manager liefert eine Standardkonfiguration mit den Automatisierungsgraden:

    • Unmanaged

      Die Benutzerkonten haben eine Zuordnung zur Person, erben jedoch keine weiteren Eigenschaften der Person.

    • Full managed

      Die Benutzerkonten haben eine Zuordnung zur Person und erben die Eigenschaften der Personen.

Die folgende Abbildung soll die möglichen Übergänge der Benutzerkonten verdeutlichen. Dabei werden die im One Identity Manager integrierten Standardmechanismen zur Personen- und Benutzerkontenverwaltung dargestellt.

Abbildung 1: Übergangszustände eines Benutzerkontos

Manuelles Einfügen eines Benutzerkontos
  • Fall 1: Um ein Benutzerkonto unabhängig von Personendaten zu verwalten, wird das Benutzerkonto manuell angelegt und keine Person zugewiesen. Das Benutzerkonto ist nicht mit einer Person verbunden und hat damit den Zustand "Unlinked".
  • Fall 2: Wird das Benutzerkonto bereits beim manuellen Einfügen mit einer Person verbunden geht das Benutzerkonto in den Zustand "Linked" über.

  • Fall 3: Wird beim Anlegen des Benutzerkontos bereits eine Person zugewiesen und gleichzeitig eine Kontendefinition zugewiesen, geht das Benutzerkonto in den Zustand "Linked configured" über. Abhängig vom verwendeten Automatisierungsgrad wird der Zustand "Linked configured: Unmanaged" oder" Linked configured: Full managed" erreicht.

Bearbeiten eines bestehenden Benutzerkontos
  • Fall 4: Wird einem bestehenden Benutzerkonto manuell eine Person zugeordnet, geht das Benutzerkonto aus dem Zustand "Unlinked" in den Zustand "Linked" über.
  • Fall 5: Wird einem bestehenden Benutzerkonto manuell eine Person zugeordnet und gleichzeitig eine Kontendefinition zugewiesen, geht das Benutzerkonto aus dem Zustand "Unlinked" in den Zustand "Linked configured" über. Abhängig vom verwendeten Automatisierungsgrad wird der Zustand "Linked configured: Unmanaged" oder "Linked configured: Full managed" erreicht.
  • Fall 6: Bei der Inbetriebnahme des One Identity Manager können für bestehende Benutzerkonten, die mit Personen verbunden sind (Zustand "Linked") IT Shop Bestellungen erzeugt werden. Dabei wird eine Kontendefinition zugewiesen und das Benutzerkonto geht in den Zustand "Linked configured". Abhängig vom verwendeten Automatisierungsgrad wird der Zustand "Linked configured: Unmanaged" oder "Linked configured: Full managed" erreicht.
Ändern des Automatisierungsgrades
  • Fall 7 und Fall 8: Durch Anpassung des Automatisierungsgrades kann ein bestehendes Benutzerkonto vom Zustand „Linked configured: Unmanaged“ in den Zustand „Linked configured: Full managed“ übergehen und umgekehrt. Der Automatisierungsgrad kann dabei nur für Benutzerkonten, die mit einer Person verbunden sind, geändert werden.
Entfernen von Personenzuordnungen
  • Fall 9: Durch das Entfernen des Personeneintrages in einem verbundenen Benutzerkonto ("Linked"), geht das Benutzerkonto in den Zustand „Unlinked“ über.

Hinweis: Der Personeneintrag kann von Benutzerkonten im Zustand "Linked configured" nicht entfernt werden, solange die Person die Kontendefinition besitzt. Das Entfernen der Kontendefinition einer Person führt direkt zum Löschen des Benutzerkontos.

Behandlung der Benutzerkonten bei der Synchronisation
  • Fall 10: Durch eine Synchronisation der Datenbank mit einem Zielsystem werden die Benutzerkonten immer ohne Personenzuordnung angelegt und haben somit initial den Zustand „Unlinked“. Anschließend kann die Zuweisung von Personen vorgenommen werden. Diese Zuweisung kann manuell oder über die automatische Personenzuordnung per Prozessverarbeitung erfolgen.
Automatische Personenzuordnung zu bestehenden Benutzerkonten
  • Fall 11: An Benutzerkonten im Zustand „Unlinked“ kann der One Identity Manager automatisch Personen zuordnen. Wenn dem Zielsystem eine Kontendefinition zugewiesen ist, wird diese Kontendefinition auch an die Personen zugewiesen. Abhängig vom verwendeten Automatisierungsgrad wird der Zustand "Linked configured: Unmanaged" oder "Linked configured: Full managed" erreicht. Die automatische Personenzuordnung kann auf das Einfügen oder Aktualisieren von Benutzerkonten durch eine Synchronisation oder das manuelle Einfügen eines Benutzerkontos folgen. Weitere Informationen finden Sie unter Automatische Zuordnung von Personen zu Benutzerkonten.
Automatische Erzeugung von Benutzerkonten über Kontendefinitionen
  • Fall 12: Um im laufenden Betrieb Benutzerkonten automatisch an Personen zu vergeben, werden Kontendefinitionen eingesetzt. Hat eine Person noch kein Benutzerkonto im Zielsystem, wird durch die Zuweisung der Kontendefinition an eine Person über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt. Der Automatisierungsgrad wird angepasst auf den Standardautomatisierungsgrad und das Benutzerkonto hat den Zustand „Linked configured“. Abhängig vom verwendeten Automatisierungsgrad wird der Zustand "Linked configured: Unmanaged" oder "Linked configured: Full managed" erreicht. Weitere Informationen finden Sie unter Grundlagen zu Kontendefinitionen.

Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten

Grundlagen zur Behandlung von Personen und Benutzerkonten > Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten

Um im laufenden Betrieb Benutzerkonten automatisch an Personen zu vergeben, kennt der One Identity Manager Kontendefinitionen. Kontendefinitionen können für jedes Zielsystem erzeugt werden. Hat eine Person noch kein Benutzerkonto im Zielsystem, wird durch die Zuweisung der Kontendefinition an eine Person über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

Aus den Personenstammdaten resultieren die Daten für das Benutzerkonto im jeweiligen Zielsystem. Über die primäre Zuordnung der Person zu einem Standort, einer Abteilung, einer Kostenstelle oder einer Geschäftsrolle und die Zuweisung der IT Betriebsdaten zu diesen Unternehmensstrukturen wird automatisch die Zuteilung der IT Betriebsdaten zum Benutzerkonto der Person geregelt. Die Verarbeitung erfolgt über Bildungsregeln. In der Standardinstallation sind vordefinierte Bildungsregeln zur Ermittlung der benötigten Daten für die Benutzerkonten enthalten. Bei Bedarf können Sie die Bildungsregeln kundenspezifisch anpassen.

Self Service Tools
Knowledge Base
Notifications & Alerts
Product Support
Software Downloads
Technical Documentation
User Forums
Video Tutorials
RSS Feed
Contact Us
Licensing Assistance
Technical Support
View All
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating