Zentraler Bestandteil des One Identity Manager ist die Abbildung von Personen mit ihren Stammdaten sowie den Berechtigungen, über die sie in verschiedenen Zielsystemen verfügen. Zu diesem Zweck können Informationen über Benutzerkonten und Berechtigungen aus den Zielsystemen in die One Identity Manager Datenbank eingelesen und mit den Personen verbunden werden. Für jede Person kann damit ein Überblick über ihre Berechtigungen in allen angebundenen Zielsystemen gewonnen werden. Der One Identity Manager bietet die Möglichkeit Benutzerkonten und ihre Berechtigungen zu verwalten. Änderungen können in die Zielsysteme provisioniert werden. Die Personen werden so entsprechend ihrer Funktion mit den benötigten Berechtigungen in den angebundenen Zielsystemen versorgt. Regelmäßige Synchronisationsprozesse halten die Daten zwischen den Zielsystemen und der One Identity Manager Datenbank konsistent.
Da die Anforderungen von Unternehmen zu Unternehmen unterschiedlich sind, bietet der One Identity Manager verschiedene Verfahren zur Versorgung einer Person mit den benötigten Benutzerkonten an. Der One Identity Manager unterstützt die folgenden Vorgehensweisen, um Personen und ihre Benutzerkonten zu verknüpfen:
Wenn Sie Benutzerkonten über Kontendefinitionen verwalten, können Sie das Verhalten von Benutzerkonten beim Deaktivieren oder Löschen von Personen festlegen.
|
|
Im One Identity Manager können unterschiedliche Typen von Benutzerkonten wie beispielsweise Standardbenutzerkonten, administrative Benutzerkonten oder Dienstkonten abgebildet werden. Zur Abbildung der verschiedenen Benutzerkontentypen werden die folgenden Eigenschaften verwendet.
Die Identität beschreibt den Typ des Benutzerkontos.
Identität | Beschreibung | Wert der Spalte "IdentityType" |
---|---|---|
Primäre Identität | Standardbenutzerkonto einer Person. | Primary |
Organisatorische Identität | Sekundäres Benutzerkonto, welches für unterschiedlichen Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen. | Organizational |
Persönliche Administratoridentität | Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird. | Admin |
Zusatzidentität | Benutzerkonto, das beispielsweise zu Trainingszwecken genutzt wird. | Sponsored |
Gruppenidentität | Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird. | Shared |
Dienstidentität | Dienstkonto. | Service |
Mit dieser Option werden Benutzerkonten mit besonderen privilegierten Berechtigungen gekennzeichnet. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Standardbenutzerkonten werden nicht mit dieser Option gekennzeichnet.
In der Regel erhält jede Person ein Standardbenutzerkonto, das die Berechtigungen besitzt, die für die tägliche Arbeit benötigt werden. Die Benutzerkonten haben eine Verbindung zur Person. Über eine Kontendefinition und deren Automatisierungsgrade kann die Auswirkung der Verbindung und der Umfang der vererbten Eigenschaften der Person an die Benutzerkonten konfiguriert werden.
Der One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade:
Benutzerkonten mit dem Automatisierungsgrad „Unmanaged“ erhalten eine Verbindung zur Person, erben jedoch keine weiteren Eigenschaften. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Person werden initial einige der Personeneigenschaften übernommen. Werden die Personeneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen nicht an das Benutzerkonto weitergereicht.
Benutzerkonten mit dem Automatisierungsgrad „Full managed“ erben definierte Eigenschaften der zugeordneten Person.
|
Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren. Die Bildungsregeln müssen Sie um die Vorgehensweise für die zusätzlichen Automatisierungsgrade erweitern. |
Um Standardbenutzerkonten zu erstellen
Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, beispielsweise ob der Container für ein Benutzerkonto über die Abteilung, die Kostenstelle, den Standort oder die Geschäftsrolle einer Person gebildet wird, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.
Welche IT Betriebsdaten erforderlich sind, ist abhängig vom ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory® Domäne X für den Zielsystemtyp „Active Directory®“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP® R/3®“. Für Standardbenutzerkonten werden folgende Einstellungen empfohlen:
Um für eine Person Benutzerkonten mit dem Automatisierungsgrad „Full managed“ zu erzeugen, müssen die benötigten IT Betriebsdaten ermittelt werden. Welche IT Betriebsdaten für welches Zielsystem konkret verwendet werden sollen, wird an den Abteilungen, Kostenstellen, Standorten und Geschäftsrollen definiert. Einer Person wird eine primäre Abteilung, eine primäre Kostenstelle, ein primärer Standort oder eine primäre Geschäftsrolle zugeordnet. Abhängig von dieser Zuordnung werden die gültigen IT Betriebsdaten ermittelt und für die Erstellung des Benutzerkontos verwendet. Können über die primären Rollen keine gültigen IT Betriebsdaten ermittelt werden, werden die Standardwerte verwendet.
Kontendefinitionen werden an die Personen des Unternehmens zugewiesen. Das Standardverfahren für die Zuweisung von Kontendefinitionen an Personen ist die indirekte Zuweisung. Die Kontendefinitionen werden an die Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen zugewiesen. Die Personen werden gemäß ihrer Funktion im Unternehmen in diese Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen eingeordnet und erhalten so ihre Kontendefinitionen. Um auf Sonderanforderungen zu reagieren, können einzelne Kontendefinitionen direkt an Personen zugewiesen werden. Kontendefinitionen können automatisch an alle Personen eines Unternehmens zugewiesen werden. Es ist möglich, die Kontendefinitionen als bestellbare Produkte dem IT Shop zuzuordnen. Der Abteilungsleiter kann dann für seine Mitarbeiter Benutzerkonten über das Web Portal bestellen. Zusätzlich ist es möglich, Kontendefinitionen in Systemrollen aufzunehmen. Diese Systemrollen können über hierarchische Rollen oder direkt an Personen zugewiesen werden oder als Produkte in den IT Shop aufgenommen werden.
Für bestimmte administrative Aufgaben, ist der Einsatz administrativer Benutzerkonten notwendig. Administrative Benutzerkonten werden in der Regel vom Zielsystem vorgegeben und haben feste Bezeichnungen und Anmeldenamen, wie beispielsweise "Administrator".
Administrative Benutzerkonten werden durch die SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem Zielsystem. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. in den One Identity Manager eingelesen. Um administrativen Benutzerkonten einen Verantwortlichen zuzuweisen, weisen Sie dem Benutzerkonto im One Identity Manager eine Person zu.
Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten.
Um privilegierte Benutzerkonten zu erstellen
Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, beispielsweise ob der Container für ein Benutzerkonto über die Abteilung, die Kostenstelle, den Standort oder die Geschäftsrolle einer Person gebildet wird, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.
Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:
Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.
Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.
|
Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ "Union") definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (IsPrivilegedAccount) gekennzeichnet. |
|
|
Ein Benutzerkonto kann im One Identity Manager mit einer Person verbunden sein. Ebenso können Sie die Benutzerkonten getrennt von Personen verwalten.
|
|
|
|
Um die Stammdaten eines Benutzerkontos zu bearbeiten
- ODER -
Klicken Sie in der Ergebnisliste .
Um ein Benutzerkonto für eine Person manuell zuzuweisen oder zu erstellen
Konfigurationsparameter | Wirkung bei Aktivierung |
---|---|
QER\CalculateRiskIndex | Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Berechnung des Risikoindex. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.
Ist der Parameter aktiviert, können Werte für den Risikoindex erfasst und berechnet werden. |
Auf dem Tabreiter Allgemein erfassen Sie folgende Stammdaten.
Eigenschaft | Beschreibung | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Person | Person, die das Benutzerkonto verwendet. Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Person bereits eingetragen. Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Person aus der Auswahlliste wählen. Wenn Sie die automatische Personenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Person erzeugt und in das Benutzerkonto übernommen. | ||||||||||||||
Kontendefinition |
Kontendefinition, über die das Benutzerkonto erstellt wurde. Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Person und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.
Um das Benutzerkonto manuell über eine Kontendefinition zu erstellen, tragen Sie im Eingabefeld Person eine Person ein. Es können alle Kontendefinitionen ausgewählt werden, die dieser Person zugewiesen sind und über die noch kein Benutzerkonto für diese Person erstellt wurde. | ||||||||||||||
Automatisierungsgrad | Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten. | ||||||||||||||
Vorname | Vorname des Benutzers. | ||||||||||||||
Zweiter Vorname | Zweiter Vorname des Benutzers. | ||||||||||||||
Nachname | Nachname des Benutzers. | ||||||||||||||
Kurzname | Kurzname des Benutzers. | ||||||||||||||
Phonetischer Name | Name des Benutzers in phonetischer Schreibweise. | ||||||||||||||
Notes Domäne | Domäne des Benutzerkontos. | ||||||||||||||
Zertifikat | Zertifikat, mit dem die Benutzer-ID-Datei und die Postfachdatei des Benutzers registriert werden sollen (bei Neuanlage) oder registriert wurden. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt. Reinen Personendokumenten ist kein Zertifikat zugeordnet.
Wenn beim Speichern eines neuen Benutzerkontos kein Zertifikat zugeordnet ist, kann auch nachträglich kein Zertifikat zugeordnet werden. Wenn beim Speichern eines neuen Benutzerkontos ein Zertifikat zugeordnet ist, kann das Zertifikat nicht nachträglich entfernt werden. | ||||||||||||||
Organisatorische Einheit | Zusätzliche organisatorische Einheit, der das Benutzerkonto angehört. | ||||||||||||||
Vollständiger Name | Vollständiger Name des Benutzerkontos. Der vollständige Name wird aus Vorname, Nachname, Zertifikat und organisatorischer Einheit gebildet. | ||||||||||||||
Anzeigename | Anzeigename des Benutzerkontos. Der Anzeigename wird aus dem vollständigen Namen oder dem Vor- und Nachnamen gebildet. | ||||||||||||||
Titel | Titel des Benutzers. | ||||||||||||||
Generationskennzeichen | Generationskennzeichen des Benutzers, beispielsweise "Junior". | ||||||||||||||
Alternativer Name | Alternativer Name in der Muttersprache des Benutzers.
Kann zur Anzeige und Namenssuche in der IBM® Notes®-Umgebung verwendet werden. Der alternative Name muss mit einer alternativen Sprache des Benutzerkontos verbunden sein. | ||||||||||||||
Alternative Sprache | Sprache des alternativen Namens. | ||||||||||||||
E-Mail-System | Typ des E-Mail-Systems, welches das Benutzerkonto verwendet. Standardmäßig wird "1 - Notes" eingetragen. Abhängig vom gewählten E-Mail-System werden weitere Eingabefelder auf dem Stammdatenformular angezeigt. | ||||||||||||||
Risikoindex (berechnet) |
Maximalwert der Risikoindexwerte aller zugeordneten | ||||||||||||||
Kategorie | Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. | ||||||||||||||
Benutzerkonto ist deaktiviert | Angabe, ob das Benutzerkonto für die Anmeldung an der Domäne gesperrt ist. | ||||||||||||||
Identität |
Typ der Identität des Benutzerkontos.
| ||||||||||||||
Privilegiertes Benutzerkonto | Angabe, ob es sich um ein privilegiertes Benutzerkonto handelt. | ||||||||||||||
Gruppen erbbar |
Angabe, ob das Benutzerkonto Gruppen über die Person erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.
|
© 2023 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy