Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für das Identity Management Basismodul

Grundlagen zur Abbildung von Unternehmensstrukturen im One Identity Manager Abteilungen, Kostenstellen und Standorte verwalten Arbeiten mit dynamischen Rollen Personen verwalten
One Identity Manager Benutzer für die Personenverwaltung Basisdaten für Personenstammdaten Erfassen der Personenstammdaten Zentrales Benutzerkonto einer Person Zentrales Kennwort einer Person Standard-E-Mail-Adresse einer Person Deaktivieren und Löschen von Personen Unternehmensressourcen an Personen zuweisen Herkunft von Rollen und Berechtigungen einer Person anzeigen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen Abbildung mehrerer Identitäten einer Person Eingeschränkter Zugang zum One Identity Manager Zusätzliche Aufgaben für die Verwaltung von Personen Ermitteln der Sprache einer Person Ermitteln der Arbeitszeit einer Person Berichte über Personen
Geräte und Arbeitsplätze verwalten Ressourcen verwalten Zusatzeigenschaften einrichten Anhang: Konfigurationsparameter für die Verwaltung von Abteilungen, Kostenstellen und Standorten Anhang: Konfigurationsparameter für die Verwaltung von Personen Anhang: Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Stammdaten einer dynamischen Rolle

Für eine dynamische Rolle erfassen Sie die folgenden Daten.

Tabelle 26: Stammdaten einer dynamischen Rolle
Eigenschaft Beschreibung

Rolle

Rolle (Abteilung, Kostenstelle, Standort, Geschäftsrolle, IT Shop Knoten, Anwendungsrolle), auf welche die dynamische Rolle verweist. Diese Angabe ist mit der ausgewählten Rolle vorbelegt.

Objektklasse

Objektklasse, für welche die dynamische Rolle gelten soll. Wählen Sie zwischen "Person", "Hardware" und "Workdesk".

Hinweis: Die Kombination aus Objektklasse und Rolle muss unikal sein. Es ist nicht möglich, das zwei dynamische Rollen einer Objektklasse auf eine Rolle verweisen.

Dynamische Rolle

Bezeichnung der dynamischen Rolle.

Zeitplan der Berechnung

Zeitplan, durch den die zyklische Neuberechnung der Rollenmitgliedschaft ausgelöst wird. In der Standardinstallation des One Identity Managers ist bereits der Zeitplan „Berechnung dynamischer Rollen“ definiert. Durch diesen Zeitplan werden die Rollenmitgliedschaften für alle dynamischen Rollen geprüft und nötigenfalls Aufträge zur Neuberechnung für den DBQueue Prozessor eingestellt. Um Zeitpläne an Ihre Erfordernisse anzupassen oder neue Zeitpläne einzurichten, verwenden Sie den Designer. Weitere Informationen finden Sie im One Identity Manager Konfigurationshandbuch.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Bedingung

Über die Bedingung wird definiert, welche Objekte der Objektklasse Mitglieder der ausgewählten Rolle werden. Die Bedingung wird als gültige Where–Klausel für Datenbankabfragen definiert und muss sich auf die gewählte Objektklasse beziehen. Die Bedingungen können Sie direkt als SQL-Abfrage eingeben oder Sie nutzen den Assistenten zur Eingabe von Datenbankabfragen. Bedingungen für Personenobjekte können Sie alternativ über den Filterdesigner zusammenstellen.

Wichtig: Umfasst die Bedingung eine große Anzahl zuzuordnender Objekte, kann bei der Berechnung der Mitgliedschaften eine hohe Last im DBQueue Prozessor und damit auf dem Datenbankserver erzeugt werden.

Hinweis: Wenn Sie Kommentare in die Bedingung einfügen und die Kommentarzeichen --, // oder % verwenden, kann der DBQueue Prozessor die dynamische Rolle nicht korrekt berechnen. Die Berechnung wird mit einem Fehler abgebrochen. Schließen Sie Kommentare immer mit den Kommentarzeichen /* ... */ ein!
Verwandte Themen

Bedingung einer dynamischen Rolle testen

Vor dem Speichern einer dynamischen Rolle sollten Sie überprüfen, welche Objekte die angegebene Bedingung erfüllen.

Hinweis: Diese Aufgabe ist nur sichtbar, wenn die Bedingung für die dynamische Rolle direkt als SQL-Abfrage angezeigt wird.

Um die SQL-Bedingung zu testen

  1. Wählen Sie die Rolle, für die eine dynamische Rolle erstellt wurde.
  2. Öffnen Sie das Überblicksformular für die Rolle.
  3. Wählen Sie das Formularelement „Dynamische Rollen“ und klicken Sie auf die dynamische Rolle.
  4. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  5. Klicken Sie auf dem Stammdatenformular (SQL bearbeiten).

    Die Bedingung wird als SQL-Abfrage angezeigt.

  6. Wählen Sie die Aufgabe Bedingung testen.

    Auf dem Stammdatenformular werden im Feld Testergebnis alle Objekte angezeigt, die durch die Bedingung ermittelt werden.

Berechnung der Rollenmitgliedschaften

Tabelle 27: Konfigurationsparameter für die Berechnung dynamischer Rollen
Konfigurationsparameter Bedeutung

QER\Structures\DynamicGroupCheck

Der Konfigurationsparameter steuert die Erzeugung von Berechnungsaufträgen für dynamische Rollen. Ist der Konfigurationsparameter deaktiviert, sind auch die untergeordneten Konfigurationsparameter nicht wirksam.

QER\Structures\DynamicGroupCheck\
CalculateImmediatelyPerson

Ist der Konfigurationsparameter aktiviert, wird bei Änderungen an Personen oder Personen-nahen Objekten sofort ein Berechnungsauftrag für den DBQueue Prozessor eingestellt. Ist der Parameter nicht aktiviert, werden die Berechnungsaufträge beim nächsten geplanten Lauf des Zeitplans eingestellt.

QER\Structures\DynamicGroupCheck\
CalculateImmediatelyHardware

Ist der Konfigurationsparameter aktiviert, wird bei Änderungen an Geräten oder Geräte-nahen Objekten sofort ein Berechnungsauftrag für den DBQueue Prozessor eingestellt. Ist der Parameter nicht aktiviert, werden die Berechnungsaufträge beim nächsten Lauf des Zeitplans eingestellt.

QER\Structures\DynamicGroupCheck\
CalculateImmediatelyWorkdesk

Ist der Konfigurationsparameter aktiviert, wird bei Änderungen an Arbeitsplätzen oder Arbeitsplatz-nahen Objekten sofort ein Berechnungsauftrag für den DBQueue Prozessor eingestellt. Ist der Parameter nicht aktiviert, werden die Berechnungsaufträge beim nächsten Lauf des Zeitplans eingestellt.

Um Rollenmitgliedschaften zu berechnen, prüft der One Identity Manager zu jeder dynamischen Rolle, ob es

  • mindestens ein Objekt gibt, das der Bedingung genügt, aber nicht der Rolle zugeordnet ist
  • mindestens ein Objekt gibt, das der Bedingung nicht genügt, aber der Rolle zugeordnet ist

Ist eine der Bedingungen erfüllt, wird ein Auftrag zum Hinzufügen oder zum Löschen von Mitgliedschaften für den DBQueue Prozessor eingestellt. Bei der Prüfung der dynamischen Rollen werden Personenobjekte, die zum Löschen markiert sind:

  • nicht über dynamische Rollen in Rollen aufgenommen, auch wenn die sonstige Bedingung erfüllt sein sollte
  • aus der Rolle entfernt, auch wenn die sonstige Bedingung erfüllt sein sollte

Je nach Einstellung der Konfigurationsparameter werden Aufträge zur Neuberechnung der Mitgliedschaften eingestellt durch:

  • die zyklische Überprüfung über einen Zeitplan

    In der Standardinstallation des One Identity Managers ist bereits der Zeitplan „Berechnung dynamischer Rollen“ definiert. Durch diesen Zeitplan werden die Rollenmitgliedschaften für alle dynamischen Rollen geprüft und nötigenfalls Aufträge zur Neuberechnung für den DBQueue Prozessor eingestellt. Die Überprüfung erfolgt in definierten Zeitabständen. Um Zeitpläne an Ihre Erfordernisse anzupassen oder neue Zeitpläne einzurichten, verwenden Sie den Designer. Weitere Informationen finden Sie im One Identity Manager Konfigurationshandbuch.

  • sofort bei Änderung eines Objektes

    Die Mitgliedschaften werden bei jeder Eigenschaftsänderung der Objekte sofort durch den DBQueue Prozessor überprüft und nötigenfalls geändert. Um diese Funktion zu nutzen, aktivieren Sie im Designer die Konfigurationsparameter "QER\Structures\DynamicGroupCheck\CalculateImmediatelyPerson", "QER\Structures\DynamicGroupCheck\CalculateImmediatelyHardware" und "QER\Structures\DynamicGroupCheck\CalculateImmediatelyWorkdesk".

Verwandte Themen

Zusätzliche Aufgaben für dynamische Rollen

Nachdem Sie die Stammdaten erfasst haben, können Sie verschiedene Aufgaben anwenden. Über die Aufgabenansicht stehen verschiedene Formulare zur Verfügung, mit denen Sie folgende Aufgaben ausführen können.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating