Table of Contents

Grundlagen zur Behandlung von Personen und Benutzerkonten

Administration von Personen und Benutzerkonten Behandlung von Personen und Benutzerkonten Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten

Kontendefinitionen und Automatisierungsgrade

Zuweisen der Kontendefinitionen an Personen

Ermitteln der gültigen IT Betriebsdaten für die Zielsysteme IT Betriebsdaten der One Identity Manager Standdardkonfiguration Zentrales Benutzerkonto einer Person Standard-E-Mail-Adresse einer Person Ändern von Personenstammdaten Bildungsregeln und Prozesse für den Einsatz von Kontendefinitionen Beispiele für den Einsatz mehrerer Kontendefinitionen innerhalb eines Zielsystemtyps

Automatische Zuordnung von Personen zu Benutzerkonten

Konfigurieren der automatischen Personenzuordnung Bearbeiten der Suchkriterien für die automatische Personenzuordnung Anpassen der Skripte für die automatische Personenzuordnung

Deaktivieren und Löschen von Personen und Benutzerkonten

Zeitweilige Deaktivierung einer Person Dauerhafte Deaktivierung einer Person Verzögertes Löschen einer Person Deaktivieren und Löschen über Kontendefinitionen

Der Unified Namespace

Abbildung der Zielsystemobjekte im Unified Namespace One Identity Manager Benutzer für die Verwaltung von Zielsystemen im Unified Namespace Unified Namespace Objekte anzeigen Berichte über den Unified Namespace

Kontendefinitionen und Automatisierungsgrade

Grundlagen zur Behandlung von Personen und Benutzerkonten > Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten > Kontendefinitionen und Automatisierungsgrade

Eine Kontendefinition legt fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über die primären Rollen einer Person ermittelt werden können.

Kontendefinitionen können für jedes Zielsystem der eingesetzten Zielsystemtypen erzeugt werden, beispielsweise für die unterschiedlichen Domänen einer Active Directory-Umgebung oder die einzelnen Mandanten eines SAP R/3-Systems. Eine Kontendefinition ist immer für ein Zielsystem gültig. Für ein Zielsystem können jedoch mehrere Kontendefinitionen definiert werden. Welche Kontendefinition verwendet wird, entscheidet sich beim Erzeugen eines Benutzerkontos für eine Person. Um sicherzustellen, dass beispielsweise ein Microsoft Exchange Postfach erst erzeugt wird, wenn auch ein Active Directory Benutzerkonto vorhanden ist, können Abhängigkeiten zwischen Kontendefinitionen festgelegt werden.

An einer Kontendefinition wird festgelegt, welche Automatisierungsgrade genutzt werden können. Es können mehrere Automatisierungsgrade erstellt werden. Der Automatisierungsgrad entscheidet über den Umfang der vererbten Eigenschaften der Person an ihre Benutzerkonten.

Der One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade:

Unmanaged
Benutzerkonten mit dem Automatisierungsgrad "Unmanaged" erhalten eine Verbindung zur Person, erben jedoch keine weiteren Eigenschaften. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Person werden initial einige der Personeneigenschaften übernommen. Werden die Personeneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen nicht an das Benutzerkonto weitergereicht.
Full managed
Benutzerkonten mit dem Automatisierungsgrad "Full managed" erben definierte Eigenschaften der zugeordneten Person.

Hinweis: Die Automatisierungsgrade "Full managed" und "Unmanaged" werden in Bildungsregeln ausgewertet. Die mitgelieferten Bildungsregeln können Sie im Designer unternehmensspezifisch anpassen.

Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren. Die Bildungsregeln müssen Sie um die Vorgehensweise für die zusätzlichen Automatisierungsgrade erweitern.

Für jede Kontendefinition wird ein Automatisierungsgrad als Standard festgelegt. Dieser Standardautomatisierungsgrad wird bei der automatischen Erzeugung neuer Benutzerkonten zur Ermittlung der gültigen IT Betriebsdaten genutzt. In den Prozessen der One Identity Manager Standardinstallation wird zunächst überprüft, ob die Person bereits ein Benutzerkonto im Zielsystem der Kontendefinition besitzt. Ist kein Benutzerkonto vorhanden, so wird ein neues Benutzerkonto mit dem Standardautomatisierungsgrad der Kontendefinition erzeugt.

Hinweis: Ist bereits ein Benutzerkonto vorhanden und ist es deaktiviert, dann wird dieses Benutzerkonto entsperrt. Den Automatisierungsgrad des Benutzerkontos müssen Sie in diesem Fall nachträglich ändern.

Für jede Kontendefinition wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf Zuweisung der Kontendefinition selbst auswirken soll. Solange eine Kontendefinition für eine Person wirksam ist, behält die Person ihre verbundenen Benutzerkonten. Die Zuweisung von Kontendefinitionen an deaktivierte Personen kann beispielsweise gewünscht sein, um bei späterer Aktivierung der Person sicherzustellen, das sofort alle erforderlichen Berechtigungen ohne Zeitverlust zur Verfügung stehen. Ist die Zuweisung einer Kontendefinition nicht mehr wirksam oder wird die Kontendefinition von der Person entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht. Zusätzlich wird für jeden Automatisierungsgrad festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf ihre Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

Zuweisen der Kontendefinitionen an Personen

Grundlagen zur Behandlung von Personen und Benutzerkonten > Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten > Kontendefinitionen und Automatisierungsgrade > Zuweisen der Kontendefinitionen an Personen

Kontendefinitionen werden an die Personen des Unternehmens zugewiesen. Das Standardverfahren für die Zuweisung von Kontendefinitionen an Personen ist die indirekte Zuweisung. Die Kontendefinitionen werden an die Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen zugewiesen. Die Personen werden gemäß ihrer Funktion im Unternehmen in diese Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen eingeordnet und erhalten so ihre Kontendefinitionen. Um auf Sonderanforderungen zu reagieren, können einzelne Kontendefinitionen direkt an Personen zugewiesen werden. Kontendefinitionen können automatisch an alle Personen eines Unternehmens zugewiesen werden. Es ist möglich, die Kontendefinitionen als bestellbare Produkte dem IT Shop zuzuordnen. Der Abteilungsleiter kann dann für seine Mitarbeiter Benutzerkonten über das Web Portal bestellen. Zusätzlich ist es möglich, Kontendefinitionen in Systemrollen aufzunehmen. Diese Systemrollen können über hierarchische Rollen oder direkt an Personen zugewiesen werden oder als Produkte in den IT Shop aufgenommen werden.

Ermitteln der gültigen IT Betriebsdaten für die Zielsysteme

Grundlagen zur Behandlung von Personen und Benutzerkonten > Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten > Ermitteln der gültigen IT Betriebsdaten für die Zielsysteme

Um für eine Person Benutzerkonten mit dem Automatisierungsgrad "Full managed" zu erzeugen, müssen die benötigten IT Betriebsdaten ermittelt werden. Welche IT Betriebsdaten für welches Zielsystem konkret verwendet werden sollen, wird an den Abteilungen, Kostenstellen, Standorten und Geschäftsrollen definiert. Einer Person wird eine primäre Abteilung, eine primäre Kostenstelle, ein primärer Standort oder eine primäre Geschäftsrolle zugeordnet. Abhängig von dieser Zuordnung werden die gültigen IT Betriebsdaten ermittelt und für die Erstellung des Benutzerkontos verwendet. Können über die primären Rollen keine gültigen IT Betriebsdaten ermittelt werden, werden die Standardwerte verwendet.

Die Prozessabläufe für die automatische Zuordnung der IT Betriebsdaten zu den Benutzerkonten einer Person innerhalb des One Identity Manager sollen anhand der nachfolgenden Abbildung veranschaulicht werden.

Abbildung 2: Abbildung der IT Betriebsdaten auf ein Benutzerkonto

Wenn in einem Zielsystem mehrere Kontendefinitionen für die Abbildung der Benutzerkonten verwendet werden, können Sie die IT Betriebsdaten auch direkt für eine konkrete Kontendefinition festlegen.

Beispiel:

In der Regel erhält jede Person der Abteilung A ein Standardbenutzerkonto in der Domäne A. Zusätzlich erhalten einige Personen der Abteilung A administrative Benutzerkonten in der Domäne A.

Erstellen Sie eine Kontendefinition A für die Standardbenutzerkonten der Domäne A und eine Kontendefinition B für die administrativen Benutzerkonten der Domäne A. In der Abbildungsvorschrift der IT Betriebsdaten für die Kontendefinitionen A und B legen Sie die Eigenschaft "Abteilung" zur Ermittlung der gültigen IT Betriebsdaten fest.

Für die Abteilung A legen Sie die wirksamen IT Betriebsdaten für die Domäne A fest. Diese IT Betriebsdaten werden für die Standardbenutzerkonten verwendet. Zusätzlich legen Sie für die Abteilung A die wirksamen IT Betriebsdaten für die Kontendefinition B fest. Diese IT Betriebsdaten werden für administrative Benutzerkonten verwendet.

IT Betriebsdaten der One Identity Manager Standdardkonfiguration

Grundlagen zur Behandlung von Personen und Benutzerkonten > Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten > IT Betriebsdaten der One Identity Manager Standdardkonfiguration

IT Betriebsdaten der One Identity Manager Standdardkonfiguration

Die IT Betriebsdaten, die in der Standardkonfiguration des One Identity Manager für das automatische Erzeugen oder Ändern von Benutzerkonten und Postfächer für eine Person in den Zielsystemen verwendet werden, sind in der nachfolgenden Tabelle aufgeführt.

Hinweis: Die IT Betriebsdaten sind abhängig vom Zielsystem und sind in den One Identity Manager Modulen enthalten. Die Daten stehen erst zur Verfügung, wenn die Module installiert sind.

Tabelle 1: Zielsystemtyp-abhängige IT Betriebsdaten
Zielsystemtyp	IT Betriebsdaten
Active Directory	Container
	Homeserver
	Profilserver
	Terminal Homeserver
	Terminal Profilserver
	Gruppen erbbar
	Identität
	Privilegiertes Benutzerkonto
Microsoft Exchange	Postfachdatenbank
LDAP	Container
	Gruppen erbbar
	Identität
	Privilegiertes Benutzerkonto
IBM Notes	Server
	Zertifikat
	Vorlage der Postdatei
	Identität
SharePoint	Authentifizierungsmodus
	Gruppen erbbar
	Identität
	Privilegiertes Benutzerkonto
Kundendefinierte Zielsysteme	Container (je Zielsystem)
	Gruppen erbbar
	Identität
	Privilegiertes Benutzerkonto
Azure Active Directory	Gruppen erbbar
	Identität
	Privilegiertes Benutzerkonto
	Kennwort bei der nächsten Anmeldung ändern
Cloud Zielsystem	Container (je Zielsystem)
	Gruppen erbbar
	Identität
	Privilegiertes Benutzerkonto
Unix-basierte Zielsysteme	Login-Shell
	Gruppen erbbar
	Identität
	Privilegiertes Benutzerkonto
Exchange Online	Gruppen erbbar
G Suite	Organisationseinheit
	Gruppen erbbar
	Privilegiertes Benutzerkonto
	Kennwort bei der nächsten Anmeldung ändern

Please select your product:

To serve you better, please complete the Purpose of your Chat:

Recommended Solutions for Your Problem

Identity Manager 8.0 - Administrationshandbuch für das Zielsystem-Basismodul

Kontendefinitionen und Automatisierungsgrade

Zuweisen der Kontendefinitionen an Personen

Ermitteln der gültigen IT Betriebsdaten für die Zielsysteme

IT Betriebsdaten der One Identity Manager Standdardkonfiguration

IT Betriebsdaten der One Identity Manager Standdardkonfiguration