Dauerhafte Deaktivierung einer Person
Personen können dauerhaft deaktiviert werden, beispielsweise wenn sie aus dem Unternehmen ausscheiden. Dabei kann es erforderlich sein, dass diesen Personen ihre Berechtigungen in den angeschlossenen Zielsystem und ihre Unternehmensressourcen entzogen werden.
Die Auswirkungen der dauerhaften Deaktivierung einer Person sind:
- Die Person kann nicht als Manager an Personen zugewiesen werden.
- Die Person kann nicht als Verantwortlicher an Rollen zugewiesen werden.
- Die Person kann nicht als Eigentümer an Attestierungsrichtlinien zugewiesen werden.
- Es erfolgt keine Vererbung von Unternehmensressourcen über Rollen, wenn zusätzlich die Option Keine Vererbung an der Person aktiviert ist.
- Benutzerkonten der Person werden gesperrt oder gelöscht und den Benutzerkonten werden die Gruppenmitgliedschaften entzogen.
Die dauerhafte Deaktivierung einer Person wird ausgelöst über:
- die Aufgabe Person dauerhaft deaktivieren
Die Aufgabe sorgt dafür, dass die Option Dauerhaft deaktiviert aktiviert wird und das Austrittsdatum und das Datum des letzten Arbeitstages auf den aktuellen Tag gesetzt werden.
- das Erreichen des Austrittsdatums
Hinweis: Konfigurieren und aktivieren Sie im Designer den Zeitplan "Benutzerkonten ausgeschiedener Personen sperren". Dieser Zeitplan prüft das Austrittsdatum und setzt bei Erreichen des Austrittsdatums die Option Dauerhaft deaktiviert. Hinweis: Die Aufgabe Person erneut aktivieren sorgt dafür, dass die Person wieder aktiviert wird. - den Zertifizierungsstatus "Abgelehnt"
Wenn der Zertifizierungsstatus einer Person durch Attestierung oder manuell auf "Abgelehnt" gesetzt wird, wird die Person sofort dauerhaft deaktiviert. Wird der Zertifizierungsstatus auf "Zertifiziert" geändert, wird die Person wieder aktiviert.
Hinweis: Diese Funktion steht zur Verfügung, wenn das Modul Attestierung vorhanden ist.
Verwandte Themen
- Zeitweilige Deaktivierung einer Person
- Verzögertes Löschen von Personen
- Person erneut aktivieren
- Zertifizierungsstatus einer Person ändern
Person erneut aktivieren
Dauerhaft deaktivierte Personen können aktiviert werden, wenn Sie nicht durch eine Zertifizierung deaktiviert wurden.
Um eine Person erneut zu aktivieren
- Wählen Sie die Kategorie Personen | Inaktive Personen.
- Wählen Sie in der Ergebnisliste die Person.
- Wählen Sie die Aufgabe Person erneut aktivieren.
Ein Meldungsfenster wird geöffnet.
- Bestätigen Sie die Sicherheitsabfrage mit Ja, wenn die Person aktiviert werden soll. Andernfalls schließen Sie das Meldungsfenster mit Nein.
Auf dem Stammdatenformular der Person ist die Option Dauerhaft deaktiviert deaktiviert. Das Austrittsdatum und das Datum des letzten Arbeitstages sind gelöscht.
- Speichern Sie die Änderungen.
Verwandte Themen
Verzögertes Löschen von Personen
Beim Löschen einer Person wird geprüft, ob der Person noch Benutzerkonten und Unternehmensressourcen zugeordnet sind oder ob Bestellungen im IT Shop offen sind. Die Person wird zum Löschen markiert und somit für jede weitere Bearbeitung gesperrt. Bevor eine Person endgültig aus der One Identity Manager Datenbank gelöscht werden kann, müssen sämtliche Zuweisungen von Unternehmensressourcen entfernt und Bestellungen abgeschlossen werden. Führen Sie diese Aufgabe manuell durch oder implementieren Sie unternehmensspezifische Prozesse. Alle mit einer Person verbundenen Benutzerkonten können unter bestimmten Voraussetzung standardmäßig durch den One Identity Manager gelöscht werden, sobald eine Person gelöscht wird. Wenn der Person keine weiteren Unternehmensressourcen zugewiesen sind, wird danach auch die Person endgültig gelöscht.
Standardmäßig werden Personen mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Während dieser Zeit besteht die Möglichkeit die Person wieder zu aktivieren. Nach Ablauf der Löschverzögerung ist ein Wiederherstellen nicht mehr möglich. Eine abweichende Löschverzögerung konfigurieren Sie im Designer an der Tabelle Person.
Verwandte Themen
Unternehmensressourcen an Personen zuweisen
Um Unternehmensressourcen zuzuweisen, nutzt der One Identity Manager verschiedene Zuweisungsarten.
- Indirekte Zuweisung
Bei der indirekten Zuweisung von Unternehmensressourcen werden Personen, Geräte und Arbeitsplätze in Abteilungen, Kostenstellen, Standorte, Geschäftsrollen oder Anwendungsrollen eingeordnet. Aus der Position innerhalb der Hierarchie, der Vererbungsrichtung (Top-Down, Bottom-Up) und den Unternehmensressourcen, die diesen Rollen zugeordnet sind, berechnet sich die Summe der zugeordneten Unternehmensressourcen für eine Person, ein Gerät oder einen Arbeitsplatz. Bei der indirekten Zuweisung von Unternehmensressourcen wird nochmals zwischen der primären Zuweisung und der sekundären Zuweisung unterschieden.
- Direkte Zuweisung
Die direkte Zuweisung von Unternehmensressourcen erfolgt beispielsweise durch die Zuordnung einer Unternehmensressource zu einer Person, einem Gerät oder einem Arbeitsplatz. Durch die direkte Zuweisung von Unternehmensressourcen kann ohne weiteren Aufwand auf Sonderanforderungen reagiert werden.
- Zuweisung über dynamische Rollen
Die Zuweisung über dynamische Rollen ist ein Spezialfall der indirekten Zuweisung. Dynamische Rollen werden eingesetzt, um Rollenmitgliedschaften dynamisch festzulegen. Dabei werden Personen, Geräte oder Arbeitsplätze nicht fest an eine Rolle zugewiesen, sondern nur dann, wenn sie bestimmte Bedingungen erfüllen. Welche Personen, Geräte oder Arbeitsplätze diese Bedingungen erfüllen, wird regelmäßig überprüft. Dadurch ändern sich die Rollenmitgliedschaften dynamisch. So können beispielsweise Unternehmensressourcen an alle Personen
- Zuweisung über IT Shop Bestellungen
Die Zuweisung über IT Shop Bestellungen ist ein Spezialfall der indirekten Zuweisung. Damit Unternehmensressourcen über IT Shop Bestellungen zugewiesen werden können, werden Personen als Kunden in einen Shop aufgenommen. Alle Unternehmensressourcen, die als Produkte diesem Shop zugeordnet sind, können von den Kunden bestellt werden. Bestellte Unternehmensressourcen werden nach erfolgreicher Genehmigung den Personen zugewiesen. Neben den Unternehmensressourcen können über den IT Shop auch Rollenmitgliedschaften bestellt werden.
In der nachfolgenden Tabelle sind die möglichen Zuweisungen von Unternehmensressourcen an Personen dargestellt.
|
|
Hinweis: Die Unternehmensressourcen sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind. |
| Unternehmensressource | Direkte Zuweisung möglich | Indirekte Zuweisung möglich | Bemerkung |
|---|---|---|---|
|
Ressourcen |
+ | + |
|
|
Systemrollen |
+ | + |
|
|
Abonnierbare Berichte |
+ | + |
|
|
Applikationen |
+ | + | |
| Kontendefinitionen | + | + | |
|
Gruppen kundendefinierter Zielsysteme |
- | + |
Alle Benutzerkonten kundendefinierter Zielsysteme der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Gruppen kundendefinierter Zielsysteme aufgenommen. |
|
Active Directory Gruppen |
- | + |
Alle Active Directory Benutzerkonten und Active Directory Kontakte der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Active Directory Gruppen aufgenommen. |
|
SharePoint Gruppen |
- | + |
Alle SharePoint Benutzerkonten der Person werden in die SharePoint Gruppen aufgenommen. |
|
SharePoint Rollen |
- | + |
Alle SharePoint Benutzerkonten der Person werden in die SharePoint Rollen aufgenommen. |
|
LDAP Gruppen |
- | + |
Alle LDAP Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die LDAP Gruppen aufgenommen. |
|
Notes Gruppen |
- | + |
Alle Notes Benutzerkonten der Person werden in die Notes Gruppen aufgenommen. |
|
SAP Gruppen |
+ | + |
Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die SAP Gruppen aufgenommen. |
|
SAP Profile |
+ | + |
Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die SAP Profile aufgenommen. |
|
SAP Rollen |
+ | + |
Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die SAP Rollen aufgenommen. |
|
Strukturelle Profile |
- | + |
Alle SAP Benutzerkonten der Person, die im selben SAP Mandanten liegen, werden in die strukturellen Profile aufgenommen. |
|
BI Analyseberechtigungen |
- | + |
Alle BI Benutzerkonten der Person, die im selben System liegen, erhalten die BI Analyseberechtigungen. |
|
E-Business Suite Berechtigungen |
- | + |
Alle E-Business Suite Benutzerkonten der Person, die im selben E-Business Suite System liegen und für welche die Vererbung von Gruppen zugelassen ist, werden in die E-Business Suite Gruppen aufgenommen. |
|
Azure Active Directory Gruppen |
- | + |
Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Azure Active Directory Gruppen aufgenommen. |
|
Azure Active Directory Administratorrollen |
- | + |
Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Azure Active Directory Administratorrollen aufgenommen. |
|
Azure Active Directory Abonnements |
- |
+ |
Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, erhalten die Azure Active Directory Abonnements. |
|
Unwirksamen Azure Active Directory Dienstpläne |
- |
+ |
Alle Azure Active Directory Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, erhalten die unwirksamen Azure Active Directory Dienstpläne. |
|
Unix Gruppen |
- |
+ |
Alle Unix Benutzerkonten der Person, für welche die Vererbung von Gruppen zugelassen ist, werden in die Unix Gruppen aufgenommen. |
Detaillierte Informationen zum Thema
- Grundlagen zur Zuweisung von Unternehmensressourcen
- Zuweisung von Personen, Geräten, Arbeitsplätzen und Unternehmensressourcen erlauben
Verwandte Themen
- Mögliche Zuweisungen von Unternehmensressourcen über Rollen
- Personen an Abteilungen, Kostenstellen und Standorte zuweisen
- Personen an Geschäftsrollen zuweisen
- Personen, Geräte und Arbeitsplätze an Abteilungen, Kostenstellen und Standorte zuweisen
- Unternehmensressourcen an Abteilungen, Kostenstellen und Standorte zuweisen
- Arbeiten mit dynamischen Rollen