Personen können dauerhaft deaktiviert werden, beispielsweise wenn sie aus dem Unternehmen ausscheiden. Dabei kann es erforderlich sein, dass diesen Personen ihre Berechtigungen in den angeschlossenen Zielsystem und ihre Unternehmensressourcen entzogen werden.
Die Auswirkungen der dauerhaften Deaktivierung einer Person sind:
Die dauerhafte Deaktivierung einer Person wird ausgelöst über:
Die Aufgabe sorgt dafür, dass die Option Dauerhaft deaktiviert aktiviert wird und das Austrittsdatum und das Datum des letzten Arbeitstages auf den aktuellen Tag gesetzt werden.
|
Hinweis: Konfigurieren und aktivieren Sie im Designer den Zeitplan "Benutzerkonten ausgeschiedener Personen sperren". Dieser Zeitplan prüft das Austrittsdatum und setzt bei Erreichen des Austrittsdatums die Option Dauerhaft deaktiviert. |
|
Hinweis: Die Aufgabe Person erneut aktivieren sorgt dafür, dass die Person wieder aktiviert wird. |
Wenn der Zertifizierungsstatus einer Person durch Attestierung oder manuell auf "Abgelehnt" gesetzt wird, wird die Person sofort dauerhaft deaktiviert. Wird der Zertifizierungsstatus auf "Zertifiziert" geändert, wird die Person wieder aktiviert.
|
Hinweis: Diese Funktion steht zur Verfügung, wenn das Modul Attestierung vorhanden ist. |
Dauerhaft deaktivierte Personen können aktiviert werden, wenn Sie nicht durch eine Zertifizierung deaktiviert wurden.
Um eine Person erneut zu aktivieren
Ein Meldungsfenster wird geöffnet.
Auf dem Stammdatenformular der Person ist die Option Dauerhaft deaktiviert deaktiviert. Das Austrittsdatum und das Datum des letzten Arbeitstages sind gelöscht.
Beim Löschen einer Person wird geprüft, ob der Person noch Benutzerkonten und Unternehmensressourcen zugeordnet sind oder ob Bestellungen im IT Shop offen sind. Die Person wird zum Löschen markiert und somit für jede weitere Bearbeitung gesperrt. Bevor eine Person endgültig aus der One Identity Manager Datenbank gelöscht werden kann, müssen sämtliche Zuweisungen von Unternehmensressourcen entfernt und Bestellungen abgeschlossen werden. Führen Sie diese Aufgabe manuell durch oder implementieren Sie unternehmensspezifische Prozesse. Alle mit einer Person verbundenen Benutzerkonten können unter bestimmten Voraussetzung standardmäßig durch den One Identity Manager gelöscht werden, sobald eine Person gelöscht wird. Wenn der Person keine weiteren Unternehmensressourcen zugewiesen sind, wird danach auch die Person endgültig gelöscht.
Standardmäßig werden Personen mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Während dieser Zeit besteht die Möglichkeit die Person wieder zu aktivieren. Nach Ablauf der Löschverzögerung ist ein Wiederherstellen nicht mehr möglich. Eine abweichende Löschverzögerung konfigurieren Sie im Designer an der Tabelle Person.
Um Unternehmensressourcen zuzuweisen, nutzt der One Identity Manager verschiedene Zuweisungsarten.
Bei der indirekten Zuweisung von Unternehmensressourcen werden Personen, Geräte und Arbeitsplätze in Abteilungen, Kostenstellen, Standorte, Geschäftsrollen oder Anwendungsrollen eingeordnet. Aus der Position innerhalb der Hierarchie, der Vererbungsrichtung (Top-Down, Bottom-Up) und den Unternehmensressourcen, die diesen Rollen zugeordnet sind, berechnet sich die Summe der zugeordneten Unternehmensressourcen für eine Person, ein Gerät oder einen Arbeitsplatz. Bei der indirekten Zuweisung von Unternehmensressourcen wird nochmals zwischen der primären Zuweisung und der sekundären Zuweisung unterschieden.
Die direkte Zuweisung von Unternehmensressourcen erfolgt beispielsweise durch die Zuordnung einer Unternehmensressource zu einer Person, einem Gerät oder einem Arbeitsplatz. Durch die direkte Zuweisung von Unternehmensressourcen kann ohne weiteren Aufwand auf Sonderanforderungen reagiert werden.
Die Zuweisung über dynamische Rollen ist ein Spezialfall der indirekten Zuweisung. Dynamische Rollen werden eingesetzt, um Rollenmitgliedschaften dynamisch festzulegen. Dabei werden Personen, Geräte oder Arbeitsplätze nicht fest an eine Rolle zugewiesen, sondern nur dann, wenn sie bestimmte Bedingungen erfüllen. Welche Personen, Geräte oder Arbeitsplätze diese Bedingungen erfüllen, wird regelmäßig überprüft. Dadurch ändern sich die Rollenmitgliedschaften dynamisch. So können beispielsweise Unternehmensressourcen an alle Personen
Die Zuweisung über IT Shop Bestellungen ist ein Spezialfall der indirekten Zuweisung. Damit Unternehmensressourcen über IT Shop Bestellungen zugewiesen werden können, werden Personen als Kunden in einen Shop aufgenommen. Alle Unternehmensressourcen, die als Produkte diesem Shop zugeordnet sind, können von den Kunden bestellt werden. Bestellte Unternehmensressourcen werden nach erfolgreicher Genehmigung den Personen zugewiesen. Neben den Unternehmensressourcen können über den IT Shop auch Rollenmitgliedschaften bestellt werden.
In der nachfolgenden Tabelle sind die möglichen Zuweisungen von Unternehmensressourcen an Personen dargestellt.
|
Hinweis: Die Unternehmensressourcen sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind. |
Unternehmensressource | Direkte Zuweisung möglich | Indirekte Zuweisung möglich | Bemerkung |
---|---|---|---|
Ressourcen |
+ | + |
|
Systemrollen |
+ | + |
|
Abonnierbare Berichte |
+ | + |
|
Applikationen |
+ | + | |
Kontendefinitionen | + | + | |
Gruppen kundendefinierter Zielsysteme |
- | + |
Alle Benutzerkonten kundendefinierter Zielsysteme der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Gruppen kundendefinierter Zielsysteme aufgenommen. |
Active Directory Gruppen |
- | + |
Alle Active Directory Benutzerkonten und Active Directory Kontakte der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Active Directory Gruppen aufgenommen. |
SharePoint Gruppen |
- | + |
Alle SharePoint Benutzerkonten der Person werden in die SharePoint Gruppen aufgenommen. |
SharePoint Rollen |
- | + |
Alle SharePoint Benutzerkonten der Person werden in die SharePoint Rollen aufgenommen. |
LDAP Gruppen |
- | + |
Alle LDAP Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die LDAP Gruppen aufgenommen. |
Notes Gruppen |
- | + |
Alle Notes Benutzerkonten der Person werden in die Notes Gruppen aufgenommen. |
SAP Gruppen |
+ | + |
Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die SAP Gruppen aufgenommen. |
SAP Profile |
+ | + |
Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die SAP Profile aufgenommen. |
SAP Rollen |
+ | + |
Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die SAP Rollen aufgenommen. |
Strukturelle Profile |
- | + |
Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die strukturellen Profile aufgenommen. |
BI Analyseberechtigungen |
- | + |
Alle BI Benutzerkonten der Person, die im selben System liegen, erhalten die BI Analyseberechtigungen. |
E-Business Suite Berechtigungen |
- | + |
Alle E-Business Suite Benutzerkonten der Person, die im selben E-Business Suite System liegen und für welche die Vererbung von Gruppen zugelassen ist, werden in die E-Business Suite Gruppen aufgenommen. |
Azure Active Directory Gruppen |
- | + |
Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Azure Active Directory Gruppen aufgenommen. |
Azure Active Directory Administratorrollen |
- | + |
Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Azure Active Directory Administratorrollen aufgenommen. |
Azure Active Directory Abonnements |
- |
+ |
Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, erhalten die Azure Active Directory Abonnements. |
Unwirksamen Azure Active Directory Dienstpläne |
- |
+ |
Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, erhalten die unwirksamen Azure Active Directory Dienstpläne. |
Unix Gruppen |
- |
+ |
Alle Unix Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Unix Gruppen aufgenommen. |
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy