Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für das Identity Management Basismodul

Grundlagen zur Abbildung von Unternehmensstrukturen im One Identity Manager Abteilungen, Kostenstellen und Standorte verwalten Arbeiten mit dynamischen Rollen Personen verwalten
One Identity Manager Benutzer für die Personenverwaltung Basisdaten für Personenstammdaten Erfassen der Personenstammdaten Zentrales Benutzerkonto einer Person Zentrales Kennwort einer Person Standard-E-Mail-Adresse einer Person Deaktivieren und Löschen von Personen Unternehmensressourcen an Personen zuweisen Herkunft von Rollen und Berechtigungen einer Person anzeigen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen Abbildung mehrerer Identitäten einer Person Eingeschränkter Zugang zum One Identity Manager Zusätzliche Aufgaben für die Verwaltung von Personen Ermitteln der Sprache einer Person Ermitteln der Arbeitszeit einer Person Berichte über Personen
Geräte und Arbeitsplätze verwalten Ressourcen verwalten Zusatzeigenschaften einrichten Anhang: Konfigurationsparameter für die Verwaltung von Abteilungen, Kostenstellen und Standorten Anhang: Konfigurationsparameter für die Verwaltung von Personen Anhang: Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Dauerhafte Deaktivierung einer Person

Personen können dauerhaft deaktiviert werden, beispielsweise wenn sie aus dem Unternehmen ausscheiden. Dabei kann es erforderlich sein, dass diesen Personen ihre Berechtigungen in den angeschlossenen Zielsystem und ihre Unternehmensressourcen entzogen werden.

Die Auswirkungen der dauerhaften Deaktivierung einer Person sind:

  • Die Person kann nicht als Manager an Personen zugewiesen werden.
  • Die Person kann nicht als Verantwortlicher an Rollen zugewiesen werden.
  • Die Person kann nicht als Eigentümer an Attestierungsrichtlinien zugewiesen werden.
  • Es erfolgt keine Vererbung von Unternehmensressourcen über Rollen, wenn zusätzlich die Option Keine Vererbung an der Person aktiviert ist.
  • Benutzerkonten der Person werden gesperrt oder gelöscht und den Benutzerkonten werden die Gruppenmitgliedschaften entzogen.

Die dauerhafte Deaktivierung einer Person wird ausgelöst über:

  • die Aufgabe Person dauerhaft deaktivieren

    Die Aufgabe sorgt dafür, dass die Option Dauerhaft deaktiviert aktiviert wird und das Austrittsdatum und das Datum des letzten Arbeitstages auf den aktuellen Tag gesetzt werden.

  • das Erreichen des Austrittsdatums

    Hinweis: Konfigurieren und aktivieren Sie im Designer den Zeitplan "Benutzerkonten ausgeschiedener Personen sperren". Dieser Zeitplan prüft das Austrittsdatum und setzt bei Erreichen des Austrittsdatums die Option Dauerhaft deaktiviert.

    Hinweis: Die Aufgabe Person erneut aktivieren sorgt dafür, dass die Person wieder aktiviert wird.
  • den Zertifizierungsstatus "Abgelehnt"

    Wenn der Zertifizierungsstatus einer Person durch Attestierung oder manuell auf "Abgelehnt" gesetzt wird, wird die Person sofort dauerhaft deaktiviert. Wird der Zertifizierungsstatus auf "Zertifiziert" geändert, wird die Person wieder aktiviert.

    Hinweis: Diese Funktion steht zur Verfügung, wenn das Modul Attestierung vorhanden ist.
Verwandte Themen

Person erneut aktivieren

Dauerhaft deaktivierte Personen können aktiviert werden, wenn Sie nicht durch eine Zertifizierung deaktiviert wurden.

Um eine Person erneut zu aktivieren

  1. Wählen Sie die Kategorie Personen | Inaktive Personen.
  2. Wählen Sie in der Ergebnisliste die Person.
  3. Wählen Sie die Aufgabe Person erneut aktivieren.

    Ein Meldungsfenster wird geöffnet.

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja, wenn die Person aktiviert werden soll. Andernfalls schließen Sie das Meldungsfenster mit Nein.

    Auf dem Stammdatenformular der Person ist die Option Dauerhaft deaktiviert deaktiviert. Das Austrittsdatum und das Datum des letzten Arbeitstages sind gelöscht.

  5. Speichern Sie die Änderungen.
Verwandte Themen

Verzögertes Löschen von Personen

Beim Löschen einer Person wird geprüft, ob der Person noch Benutzerkonten und Unternehmensressourcen zugeordnet sind oder ob Bestellungen im IT Shop offen sind. Die Person wird zum Löschen markiert und somit für jede weitere Bearbeitung gesperrt. Bevor eine Person endgültig aus der One Identity Manager Datenbank gelöscht werden kann, müssen sämtliche Zuweisungen von Unternehmensressourcen entfernt und Bestellungen abgeschlossen werden. Führen Sie diese Aufgabe manuell durch oder implementieren Sie unternehmensspezifische Prozesse. Alle mit einer Person verbundenen Benutzerkonten können unter bestimmten Voraussetzung standardmäßig durch den One Identity Manager gelöscht werden, sobald eine Person gelöscht wird. Wenn der Person keine weiteren Unternehmensressourcen zugewiesen sind, wird danach auch die Person endgültig gelöscht.

Standardmäßig werden Personen mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Während dieser Zeit besteht die Möglichkeit die Person wieder zu aktivieren. Nach Ablauf der Löschverzögerung ist ein Wiederherstellen nicht mehr möglich. Eine abweichende Löschverzögerung konfigurieren Sie im Designer an der Tabelle Person.

Verwandte Themen

Unternehmensressourcen an Personen zuweisen

Um Unternehmensressourcen zuzuweisen, nutzt der One Identity Manager verschiedene Zuweisungsarten.

  • Indirekte Zuweisung

    Bei der indirekten Zuweisung von Unternehmensressourcen werden Personen, Geräte und Arbeitsplätze in Abteilungen, Kostenstellen, Standorte, Geschäftsrollen oder Anwendungsrollen eingeordnet. Aus der Position innerhalb der Hierarchie, der Vererbungsrichtung (Top-Down, Bottom-Up) und den Unternehmensressourcen, die diesen Rollen zugeordnet sind, berechnet sich die Summe der zugeordneten Unternehmensressourcen für eine Person, ein Gerät oder einen Arbeitsplatz. Bei der indirekten Zuweisung von Unternehmensressourcen wird nochmals zwischen der primären Zuweisung und der sekundären Zuweisung unterschieden.

  • Direkte Zuweisung

    Die direkte Zuweisung von Unternehmensressourcen erfolgt beispielsweise durch die Zuordnung einer Unternehmensressource zu einer Person, einem Gerät oder einem Arbeitsplatz. Durch die direkte Zuweisung von Unternehmensressourcen kann ohne weiteren Aufwand auf Sonderanforderungen reagiert werden.

  • Zuweisung über dynamische Rollen

    Die Zuweisung über dynamische Rollen ist ein Spezialfall der indirekten Zuweisung. Dynamische Rollen werden eingesetzt, um Rollenmitgliedschaften dynamisch festzulegen. Dabei werden Personen, Geräte oder Arbeitsplätze nicht fest an eine Rolle zugewiesen, sondern nur dann, wenn sie bestimmte Bedingungen erfüllen. Welche Personen, Geräte oder Arbeitsplätze diese Bedingungen erfüllen, wird regelmäßig überprüft. Dadurch ändern sich die Rollenmitgliedschaften dynamisch. So können beispielsweise Unternehmensressourcen an alle Personen einer Abteilung zugewiesen werden; verlässt eine Person diese Abteilung verliert sie sofort die zugewiesenen Unternehmensressourcen.

  • Zuweisung über IT Shop Bestellungen

    Die Zuweisung über IT Shop Bestellungen ist ein Spezialfall der indirekten Zuweisung. Damit Unternehmensressourcen über IT Shop Bestellungen zugewiesen werden können, werden Personen als Kunden in einen Shop aufgenommen. Alle Unternehmensressourcen, die als Produkte diesem Shop zugeordnet sind, können von den Kunden bestellt werden. Bestellte Unternehmensressourcen werden nach erfolgreicher Genehmigung den Personen zugewiesen. Neben den Unternehmensressourcen können über den IT Shop auch Rollenmitgliedschaften bestellt werden.

In der nachfolgenden Tabelle sind die möglichen Zuweisungen von Unternehmensressourcen an Personen dargestellt.

Hinweis: Die Unternehmensressourcen sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.
Tabelle 45: Mögliche Zuweisungen von Unternehmensressourcen an Personen
Unternehmensressource Direkte Zuweisung möglich Indirekte Zuweisung möglich Bemerkung

Ressourcen

+ +

 

Systemrollen

+ +

 

Abonnierbare Berichte

+ +

 

Applikationen

+ +
Kontendefinitionen + +  

Gruppen kundendefinierter Zielsysteme

- +

Alle Benutzerkonten kundendefinierter Zielsysteme der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Gruppen kundendefinierter Zielsysteme aufgenommen.

Active Directory Gruppen

- +

Alle Active Directory Benutzerkonten und Active Directory Kontakte der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Active Directory Gruppen aufgenommen.

SharePoint Gruppen

- +

Alle SharePoint Benutzerkonten der Person werden in die SharePoint Gruppen aufgenommen.

SharePoint Rollen

- +

Alle SharePoint Benutzerkonten der Person werden in die SharePoint Rollen aufgenommen.

LDAP Gruppen

- +

Alle LDAP Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die LDAP Gruppen aufgenommen.

Notes Gruppen

- +

Alle Notes Benutzerkonten der Person werden in die Notes Gruppen aufgenommen.

SAP Gruppen

+ +

Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die SAP Gruppen aufgenommen.

SAP Profile

+ +

Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die SAP Profile aufgenommen.

SAP Rollen

+ +

Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die SAP Rollen aufgenommen.

Strukturelle Profile

- +

Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die strukturellen Profile aufgenommen.

BI Analyseberechtigungen

- +

Alle BI Benutzerkonten der Person, die im selben System liegen, erhalten die BI Analyseberechtigungen.

E-Business Suite Berechtigungen

- +

Alle E-Business Suite Benutzerkonten der Person, die im selben E-Business Suite System liegen und für welche die Vererbung von Gruppen zugelassen ist, werden in die E-Business Suite Gruppen aufgenommen.

Azure Active Directory Gruppen

- +

Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Azure Active Directory Gruppen aufgenommen.

Azure Active Directory Administratorrollen

- +

Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Azure Active Directory Administratorrollen aufgenommen.

Azure Active Directory Abonnements

-

+

Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, erhalten die Azure Active Directory Abonnements.

Unwirksamen Azure Active Directory Dienstpläne

-

+

Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, erhalten die unwirksamen Azure Active Directory Dienstpläne.

Unix Gruppen

-

+

Alle Unix Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Unix Gruppen aufgenommen.

Detaillierte Informationen zum Thema
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating