Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für das Identity Management Basismodul

Grundlagen zur Abbildung von Unternehmensstrukturen im One Identity Manager Abteilungen, Kostenstellen und Standorte verwalten Arbeiten mit dynamischen Rollen Personen verwalten
One Identity Manager Benutzer für die Personenverwaltung Basisdaten für Personenstammdaten Erfassen der Personenstammdaten Zentrales Benutzerkonto einer Person Zentrales Kennwort einer Person Standard-E-Mail-Adresse einer Person Deaktivieren und Löschen von Personen Unternehmensressourcen an Personen zuweisen Herkunft von Rollen und Berechtigungen einer Person anzeigen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen Abbildung mehrerer Identitäten einer Person Eingeschränkter Zugang zum One Identity Manager Zusätzliche Aufgaben für die Verwaltung von Personen Ermitteln der Sprache einer Person Ermitteln der Arbeitszeit einer Person Berichte über Personen
Geräte und Arbeitsplätze verwalten Ressourcen verwalten Zusatzeigenschaften einrichten Anhang: Konfigurationsparameter für die Verwaltung von Abteilungen, Kostenstellen und Standorten Anhang: Konfigurationsparameter für die Verwaltung von Personen Anhang: Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Zuweisung von Personen, Geräten, Arbeitsplätzen und Unternehmensressourcen erlauben

Das Standardverfahren für die Zuweisung von Unternehmensressourcen über Rollen ist die sekundäre Zuweisung. Dafür werden sowohl Personen, Geräte und Arbeitsplätze als auch die Unternehmensressourcen über die sekundäre Zuweisung in die Rollen aufgenommen.

Ob und wie Personen, Geräte, Arbeitsplätze und Unternehmensressourcen an Rollen sekundär zugewiesen werden dürfen, legen Sie über die Rollenklasse fest. Rollenklassen bilden die Basis für die Abbildung von hierarchischen Rollen im One Identity Manager. Rollenklassen dienen zur Zusammenfassung gleichartiger Rollen. Folgende Rollenklassen sind standardmäßig im One Identity Manager vorhanden:

  • Abteilung
  • Kostenstelle
  • Standort
  • Anwendungsrolle

Die sekundäre Zuweisung von Objekten zu Rollen einer Rollenklasse wird über folgende Optionen definiert:

  • Zuweisungen erlaubt

    Mit dieser Option legen Sie fest, ob die Zuweisung der jeweiligen Objekttypen zu Rollen der Rollenklasse generell erlaubt ist.

  • Direkte Zuweisungen erlaubt

    Mit dieser Option legen Sie fest, ob die jeweiligen Objekttypen direkt an die Rollen der Rollenklasse zugewiesen werden können. Sollen beispielsweise Ressourcen über die Zuweisungsformulare im Manager an Abteilungen, Kostenstellen oder Standorte zugewiesen werden, dann setzen Sie diese Option.

    Hinweis: Ist die Option nicht gesetzt, dann ist die Zuweisung des jeweiligen Objekttyps nur über Bestellungen im IT Shop, dynamische Rollen oder Systemrollen möglich.
Beispiel

Um Personen im Manager direkt an Abteilungen zuzuweisen, aktivieren Sie an der Rollenklasse "Abteilung", für den Eintrag "Personen", die Optionen Zuweisungen erlaubt und Direkte Zuweisungen erlaubt.

Sollen Personen die Mitgliedschaft in einer Abteilung nur über den IT Shop erhalten, dann aktivieren Sie an der Rollenklasse "Abteilung", für den Eintrag "Personen", die Option Zuweisungen erlaubt und deaktivieren die Option Direkte Zuweisungen erlaubt. Im IT Shop muss dann eine entsprechende Zuweisungsressource verfügbar sein.

Hinweis: Für Abteilungen, Kostenstellen, Standorte und Anwendungsrollen sind Zuweisungen von Personen, Geräten, Arbeitsplätzen und Unternehmensressourcen vordefiniert.

Um die sekundäre Zuweisung zu Rollen einer Rollenklasse zu konfigurieren

  1. Wählen Sie unter Basisdaten zur Konfiguration | Rollenklassen die Rollenklasse.
  2. Wählen Sie die Aufgabe Rollenzuweisungen konfigurieren.
  3. Verwenden Sie die Spalte Zuweisungen erlaubt um festzulegen, ob eine Zuweisung generell erlaubt ist.

    Hinweis: Sie können die Option Zuweisungen erlaubt nur dann deaktivieren, wenn es keine Zuweisungen der jeweiligen Objekte zu Rollen dieser Rollenklasse gibt oder über bestehende dynamische Rollen entstehen könnten.
  4. Verwenden Sie die Spalte Direkte Zuweisungen erlaubt um festzulegen, ob eine direkte Zuweisung erlaubt ist.

    Hinweis: Sie können die Option Direkte Zuweisungen erlaubt nur dann deaktivieren, wenn es keine direkten Zuweisungen der jeweiligen Objekte zu Rollen der Rollenklasse gibt.
  5. Speichern Sie die Änderungen.

Einschränken der Vererbung über Rollen

In speziellen Fällen ist die Vererbung über mehrere Hierarchieebenen nicht gewünscht. Deshalb ist die Unterbrechung der Vererbung innerhalb einer Hierarchie möglich. Abhängig von der Vererbungsrichtung hat diese Festlegung unterschiedliche Auswirkungen.

  • Bei einer Top-Down-Vererbung erbt die mit der Option Vererbung blockieren versehene Rolle keine Zuweisungen aus der übergeordneten Ebene. Sie vererbt die ihr direkt zugewiesenen Unternehmensressourcen ihrerseits jedoch an die ihr untergeordneten Ebenen weiter.
  • In einer Bottom-Up-Vererbung erbt die mit der Option Vererbung blockieren versehene Rolle alle Zuweisungen der untergeordneten Ebenen. Die Rolle selbst vererbt jedoch keinerlei Zuweisungen weiter nach oben.

Um die Vererbung zu unterbrechen

  1. Öffnen Sie das Stammdatenformular für eine Rolle.

  2. Aktivieren Sie die Option Vererbung blockieren.
  3. Speichern Sie die Änderungen.

Für einzelne Rollen kann die Vererbung von Unternehmensressourcen vorübergehend verhindert werden. Dieses Verhalten können Sie beispielsweise nutzen, um alle erforderlichen Unternehmensressourcen an eine Rolle zuzuweisen. Die Vererbung der Unternehmensressourcen erfolgt jedoch erst dann, wenn die Vererbung für diese Rolle wieder zugelassen wird, beispielsweise nach Durchlaufen eines definierten Freigabeprozesses.

Um die Vererbung für eine Rolle zu verhindern

  1. Öffnen Sie das Stammdatenformular für die Rolle.

  2. Aktivieren Sie die Option
    • Keine Vererbung an Personen
    • Keine Vererbung an Geräte

      - ODER -

    • Keine Vererbung an Arbeitsplätze
  3. Speichern Sie die Änderungen.

Ebenso kann für einzelne Personen, Geräte oder Arbeitsplätze die Vererbung von Unternehmensressourcen verhindert werden. Dieses Verhalten können Sie beispielsweise nutzen, um nach einem Personenimport die importierten Daten zunächst zu korrigieren und erst anschließend die Vererbung freizuschalten.

Um die Vererbung für eine Person zu verhindern

  1. Öffnen Sie das Stammdatenformular für die Person.

  2. Aktivieren Sie die Option Keine Vererbung.

    Die Person erbt keine Unternehmensressourcen über Rollen.

    Hinweis: Diese Option hat keinen Einfluss auf direkte Zuweisungen! Direkt zugewiesene Unternehmensressourcen bleiben zugewiesen.
  3. Speichern Sie die Änderungen.

Um die Vererbung für ein Gerät zu verhindern

  1. Öffnen Sie das Stammdatenformular für das Gerät.

  2. Aktivieren Sie die Option Keine Vererbung.

    Das Gerät erbt keine Unternehmensressourcen über Rollen.

    Hinweis: Diese Option hat keinen Einfluss auf direkte Zuweisungen! Direkt zugewiesene Unternehmensressourcen bleiben zugewiesen.
  3. Speichern Sie die Änderungen.

Um die Vererbung für einen Arbeitsplatz zu verhindern

  1. Öffnen Sie das Stammdatenformular für den Arbeitsplatz.

  2. Aktivieren Sie die Option Keine Vererbung.

    Der Arbeitsplatz erbt keine Unternehmensressourcen über Rollen.

    Hinweis: Diese Option hat keinen Einfluss auf direkte Zuweisungen! Direkt zugewiesene Unternehmensressourcen bleiben zugewiesen.
  3. Speichern Sie die Änderungen.
Verwandte Themen

Vererbungsausschluss: Festlegen widersprechender Rollen

Vererbungsausschluss: Festlegen widersprechender Rollen

Um zu verhindern, dass Personen, Geräte oder Arbeitsplätze gleichzeitig an verschiedene Rollen zugewiesen werden und über diese Rollen sich ausschließende Unternehmensressourcen erhalten könnten, können Sie widersprechende Rollen definieren. Dabei legen Sie fest, welche Anwendungsrollen, Abteilungen, Kostenstellen oder Standorte sich gegenseitig ausschließen. Sie dürfen diese Rollen dann nicht mehr an ein und dieselbe Person (Gerät, Arbeitsplatz) zuweisen.

Hinweis: Nur Rollen, die direkt als widersprechende Rollen definiert sind, können nicht an ein und dieselbe Person (Gerät, Arbeitsplatz) zugewiesen werden. Festlegungen an übergeordneten oder untergeordneten Rollen haben keinen Einfluss auf die Zuweisung.
Beispiel

An der Kostenstelle A wurde Kostenstelle B als widersprechende Kostenstelle eingetragen. Jenna Miller und Hans Peter sind Mitglied der Kostenstelle A. Lotte Louise ist Mitglied der Kostenstelle B. Hans Peter kann nicht an Kostenstelle B zugewiesen werden. Der One Identity Manager verhindert außerdem, dass Jenna Miller an Kostenstelle B und Lotte Louise an Kostenstelle A zugewiesen wird.

Abbildung 12: Mitgliedschaften in sich widersprechenden Rollen

Um den Vererbungsausschluss zu konfigurieren

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Structures\ExcludeStructures" und kompilieren Sie die Datenbank.
Verwandte Themen

Abteilungen, Kostenstellen und Standorte verwalten

Aufgrund ihrer besonderen Bedeutung für betriebliche Abläufe in vielen Unternehmen werden Abteilungen, Kostenstellen und Standorte in eigenständigen Hierarchien, unter dem Begriff „Organisationen“ abgebildet. An Organisationen können verschiedene Unternehmensressourcen zugewiesen werden, beispielsweise Berechtigungen in SAP Systemen oder Applikationen. Personen können als Mitglieder in die einzelnen Rollen aufgenommen werden. Bei entsprechender Konfiguration des One Identity Manager erhalten die Personen über diese Zuordnungen ihre Unternehmensressourcen.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating