Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für das Zielsystem-Basismodul

Beispiele für den Einsatz mehrerer Kontendefinitionen innerhalb eines Zielsystemtyps

Sollen in einem Zielsystemtyp mehrere Zielsysteme über Kontendefinitionen verwaltet werden, muss pro Zielsystem eine separate Kontendefinition eingerichtet werden. Bei Zuweisung beider Kontendefinitionen an die Person wird durch die anschließende Skript- und Prozessverarbeitung dafür gesorgt, dass die Person ihre Benutzerkonten in beiden Zielsystemen erhält.

Beispiel 1

In einer Active Directory-Umgebung existieren zwei Domänen. Die Personen können nur in einer der beiden Domänen ein Benutzerkonto besitzen. Anhand der IT Betriebsdaten der Abteilung einer Person wird entschieden, ob das Benutzerkonto in Domäne A oder in Domäne B erstellt wird.

Erstellen Sie eine Kontendefinition A für die Domäne A und eine Kontendefinition B für die Domäne B und weisen Sie den Automatisierungsgrad „Full managed" zu. Dieser Automatisierungsgrad nutzt zur Ermittlung der IT Betriebsdaten die Standardbildungsregeln des One Identity Manager. In der Abbildungsvorschrift der IT Betriebsdaten für beide Kontendefinitionen legen Sie die Eigenschaft "Abteilung" zur Ermittlung der gültigen IT Betriebsdaten fest

Gehört die Person zur Abteilung A, dann erhält Sie (beispielsweise per dynamischer Zuweisung) die Kontendefinition A und daraus resultierend ein Benutzerkonto in Domäne A. Gehört die Person zur Abteilung B, dann wird ihr die Kontendefinition B zugeteilt und sie erhält ein Benutzerkonto in Domäne B.

Abbildung 3: Erzeugung von Benutzerkonten anhand von Kontendefinitionen

Beispiel 2

In einer Active Directory-Umgebung existieren zwei Domänen. Die Personen können in beiden Domänen ein Benutzerkonto besitzen. Das Benutzerkonto in Domäne A erhält die IT Betriebsdaten über die Abteilung einer Person. Das Benutzerkonto in Domäne B erhält die IT Betriebsdaten über die primäre Geschäftsrolle einer Person.

Erstellen Sie eine Kontendefinition A für die Domäne A und eine Kontendefinition B für die Domäne B und weisen Sie den Automatisierungsgrad "Full managed" zu. Der Automatisierungsgrad „Full managed“ nutzt zur Ermittlung der IT Betriebsdaten die Standardbildungsregeln des One Identity Manager. In der Abbildungsvorschrift der IT Betriebsdaten für Kontendefinition A legen Sie die Eigenschaft "Abteilung" zur Ermittlung der gültigen IT Betriebsdaten fest. In der Abbildungsvorschrift der IT Betriebsdaten für Kontendefinition B legen Sie die Eigenschaft "Geschäftsrolle" zur Ermittlung der gültigen IT Betriebsdaten fest.

Abbildung 4: Erzeugung von Benutzerkonten anhand von Kontendefinitionen

Automatische Zuordnung von Personen zu Benutzerkonten

Durch die automatische Personenzuordnung können

  • vorhandene Personen an Benutzerkonten zugeordnet werden
  • Personenstammdaten anhand vorhandener Benutzerkonten erzeugt werden

Durch eine Synchronisation werden die Benutzerkonten zunächst initial aus einem Zielsystem in den One Identity Manager eingelesen. Durch anschließende Skript- und Prozessverarbeitung kann die automatische Zuordnung der Benutzerkonten zu bestehenden Personen erfolgen. Gegebenenfalls können neue Personen anhand vorhandener Benutzerkonten erzeugt und den Benutzerkonten zugeordnet werden. Dieses Vorgehen ist jedoch nicht das Standardverfahren für den One Identity Manager. Das Verfahren können Sie einsetzen, um bei der Synchronisation aus den bereits vorhandenen Benutzerkonten eines Zielsystems Personendatensätze zu erstellen.

Schalten Sie das Verfahren im laufenden Betrieb ein, dann erfolgt ab diesem Zeitpunkt die automatische Zuordnung der Personen zu Benutzerkonten. Deaktivieren Sie das Verfahren zu einem späteren Zeitpunkt wieder, wirkt sich diese Änderung nur auf Benutzerkonten aus, die ab diesem Zeitpunkt angelegt oder aktualisiert werden. Bereits vorhandene Zuordnungen von Personen zu Benutzerkonten bleiben bestehen.

Die Kriterien für die automatische Zuordnung eines Benutzerkontos zu einer Person werden unternehmensspezifisch definiert. Personen können bei Bedarf anhand einer Vorschlagsliste direkt an vorhandene Benutzerkonten zugeordnet werden.

Führen Sie folgende Aktionen aus, damit Personen automatisch zugeordnet werden können:

  • Aktivieren Sie im Designer die Konfigurationsparameter für die automatische Zuordnung der Personen zu Benutzerkonten und wählen Sie den gewünschte Modus aus.
  • Definieren Sie die Suchkriterien für die Personenzuordnung.
  • Sollen durch die automatische Personenzuordnung verwaltete Benutzerkonten (Zustand "Linked configured") entstehen, dann weisen Sie dem Zielsystem eine Kontendefinition zu. Stellen Sie sicher, dass der Automatisierungsgrad, der verwendet werden soll, als Standardautomatisierungsgrad eingetragen ist.

    Ist keine Kontendefinition am Zielsystem angegeben, werden die Benutzerkonten nur mit der Person verbunden (Zustand "Linked"). Dies ist beispielsweise bei der initialen Synchronisation der Fall.

Verwandte Themen

Konfigurieren der automatischen Personenzuordnung

Konfigurieren der automatischen Personenzuordnung

In der One Identity Manager Standardinstallation wird die automatische Zuordnung von Personen zu Benutzerkonten über die nachfolgend aufgeführten Konfigurationsparameter gesteuert und ist somit global für einen Zielsystemtyp wirksam. Es wird dabei zwischen dem Verhalten bei Synchronisationen und dem Standardverhalten unterschieden.

Hinweis:

Für die Synchronisation gilt:

  • Die automatische Personenzuordnung wirkt, wenn Benutzerkonten neu angelegt oder aktualisiert werden.

Außerhalb der Synchronisation gilt:

  • Die automatische Personenzuordnung wirkt, wenn Benutzerkonten neu angelegt werden.

Hinweis: Die Konfigurationsparameter sind in den One Identity Manager Modulen enthalten und stehen zur Verfügung, wenn die Module installiert sind.
Tabelle 5: Konfigurationsparameter für automatische Personenzuordnung
Zielsystemtyp Konfigurationsparameter
Active Directory TargetSystem\ADS\PersonAutoDefault
TargetSystem\ADS\PersonAutoFullSync
LDAP TargetSystem\LDAP\PersonAutoDefault
TargetSystem\LDAP\PersonAutoFullSync
IBM Notes TargetSystem\NDO\PersonAutoDefault
TargetSystem\NDO\PersonAutoFullSsync
SAP R/3 TargetSystem\SAPR3\PersonAutoDefault
TargetSystem\SAPR3\PersonAutoFullSync
SharePoint TargetSystem\SharePoint\PersonAutoDefault
TargetSystem\SharePoint\PersonAutoFullSync
Unix-basierte Zielsysteme TargetSystem\Unix\PersonAutoDefault
TargetSystem\Unix\PersonAutoFullSync

Azure Active Directory

TargetSystem\AzureAD\PersonAutoDefault

 

TargetSystem\AzureAD\PersonAutoFullSync

Jeder Konfigurationsparameter kennt die zulässigen Modi:

  • NO

    Es erfolgt keine automatische Zuordnung einer Person zum Benutzerkonto. Dies ist der Standardwert, der auch abgebildet wird, wenn der Konfigurationsparameter nicht aktiv ist.

  • SEARCH

    Ist dem Benutzerkonto keine Person zugeordnet, so wird anhand definierter Kriterien nach der passenden Person gesucht und die gefundene Person dem Benutzerkonto zugeordnet. Wird keine Person gefunden, so wird auch keine neue Person angelegt.

  • CREATE

    Ist dem Benutzerkonto keine Person zugeordnet, wird immer eine neue Person angelegt, einige Eigenschaften initialisiert und die Person dem Benutzerkonto zugeordnet.

    Hinweis: Dieser Modus steht für den Zielsystemtyp SharePoint und Unix-basierte Zielsysteme nicht zur Verfügung.
  • SEARCH AND CREATE

    Ist dem Benutzerkonto keine Person zugeordnet, wird anhand definierter Kriterien nach einer passenden Person gesucht und die gefundene Person dem Benutzerkonto zugeordnet. Wird keine Person gefunden, so werden eine neue Person angelegt, einige Eigenschaften initialisiert und die Person dem Benutzerkonto zugeordnet.

    Hinweis: Dieser Modus steht für den Zielsystemtyp SharePoint und Unix-basierte Zielsysteme nicht zur Verfügung.

Wird durch den eingesetzten Modus ein Benutzerkonto mit einer Person verbunden, so erhält das Benutzerkonto durch interne Verarbeitung den Standardautomatisierungsgrad der Kontendefinition, die am Zielsystem des Benutzerkontos eingetragen ist. Diesen Automatisierungsgrad können Sie nachträglich ändern.

Hinweis: Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten Personen erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für das Zielsystem bekannt, werden die Benutzerkonten mit den Personen verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten sind somit im Zustand "Linked" (verbunden).

Um die Benutzerkonten über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.
  2. Weisen Sie dem Zielsystem eine Kontendefinition zu.
  3. Weisen Sie den Benutzerkonten im Zustand "Linked" (verbunden) die Kontendefinition und den Automatisierungsgrad zu.
    1. Wählen Sie die Kategorie Kundendefinierte Zielsysteme | <Zielsystem> | Benutzerkonten | Verbunden aber nicht konfiguriert | <Zielsystem>.
    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.

In den Zielsystemtyp-abhängigen Insert/Update-Prozessen der One Identity Manager Standardinstallation werden die Konfigurationsparameter ausgewertet und so der auszuführende Modus ermittelt. Die Namen der entsprechenden Prozessschritte lauten Search and Create Person for Account bzw. Search and Create Person for Account (Fullsync). Um die automatische Personenzuordnung in den einzelnen Zielsystemen eines Zielsystemtyps, beispielsweise den einzelnen Domänen einer Active Directory-Umgebung, unterschiedlich einzusetzen, können Sie diese Prozessschritte als Vorlage nutzen.

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

Die Kriterien für die Personenzuordnung werden an den Zielsystemendefiniert. Dabei legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person dem Benutzerkonto zugeordnet werden kann. Die Suchkriterien können Sie durch Formatdefinitionen weiter einschränken. Das zusammengestellte Suchkriterium wird in XML-Notation in die Spalte "Suchkriterien für die automatische Personenzuordnung" (AccountToPersonMatchingRule) der Zielsystem-Tabelle geschrieben.

Suchkriterien werden bei der automatischen Zuordnung von Personen zu Benutzerkonten ausgewertet. Darüber hinaus können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen.

Hinweis: Bei der Zuordnung der Personen zu Benutzerkonten anhand der Suchkriterien erhalten die Benutzerkonten den Standardautomatisierungsgrad der Kontendefinition, die am Zielsystem des Benutzerkontos eingetragen ist. Abhängig davon, wie das Verhalten des verwendeten Automatisierungsgrades definiert ist, können Eigenschaften der Benutzerkonten angepasst werden.

Für administrative Benutzerkonten wird empfohlen, die Zuordnung nicht anhand der Suchkriterien vorzunehmen. Ordnen Sie Personen zu administrativen Benutzerkonten über die Aufgabe Stammdaten bearbeiten am jeweiligen Benutzerkonto zu.

Hinweis: Der One Identity Manager liefert ein Standardmapping für die Personenzuordnung. Führen Sie die folgenden Schritte nur aus, wenn Sie das Standardmapping unternehmensspezifisch anpassen möchten.

So öffnen Sie das Formular für die Personenzuordnung:

  1. Kategorie Zielsystemtyp | <Zielsystem> öffnen.
  2. Das Zielsystem in der Ergebnisliste auswählen.
  3. Aufgabe Suchkriterien für die Personenzuordnung definieren klicken.

Abbildung 5: Suchkriterien für die Personenzuordnung definieren

Um ein neues Suchkriterium für die Personenzuordnung zu definieren:

  1. Wählen Sie einen Objekttyp für das Mapping aus.

    Objekttypen sind Benutzerkonten mit bestimmten Eigenschaften, beispielsweise „Active Directory Kontakte“ oder „aktive Notes Benutzerkonten“.

    1. Um einen neuen Objekttyp hinzuzufügen, klicken Sie Hinzufügen | Kriterium. Wählen Sie über die Auswahlliste Anwenden auf den Objekttyp aus, für den das Suchkriterium definiert werden soll.

      Wenn kein Objekttyp ausgewählt wird, wird das Suchkriterium auf alle Benutzerkonten angewendet.

    2. Um den Objekttyp eines vorhandenen Suchkriteriums zu ändern, markieren Sie im Bereich "Suchkriterien" das Suchkriterium. Wählen Sie über die Auswahlliste Anwenden auf den Objekttyp aus, für den das Suchkriterium definiert werden soll.

      Wenn die bestehende Auswahl entfernt wird, wird das Suchkriterium auf alle Benutzerkonten angewendet.

  2. Wählen Sie die Objekteigenschaften für das Mapping aus.
    • Spalte an Person

      Wählen Sie die Spalte an der Tabelle Person, auf der die Suche ausgeführt wird.

    • Spalte am Benutzerkonto

      Wählen Sie die Spalte an der Benutzerkonten-Tabelle, die den Wert für die Suche einer Person liefert.

  3. Definieren Sie Formatregeln, um das Suchkriterium einzuschränken.

    Wählen Sie im Menü Format hinzufügen eine Formatvorlage aus. Definieren Sie Formatregeln, die auf die zu suchende Zeichenkette angewendet werden sollen. Es können mehrere Formatvorlagen kombiniert werden.

    Tabelle 6: Formatvorlagen
    Formatvorlage Bedeutung
    Zeichenbereich Zeichen der Zeichenkette, die als Suchkriterium genutzt werden sollen.
    Beschneide auf feste Länge Länge der zu suchenden Zeichenkette fest. Damit die feste Länge erreicht wird, kann die Zeichenkette am Beginn oder am Ende mit Füllzeichen ergänzt werden.
    Führende oder folgende Zeichen entfernen Zeichen, die am Anfang oder am Ende der Zeichenkette entfernt werden sollen. Die verbleibende Zeichenkette bildet das Suchkriterium.
    Zerteile Wert Zeichen, bei welchem die Zeichenkette geteilt werden soll und welcher der verbleibenden Teile als Suchkriterium genutzt werden soll.
  4. Testen Sie die Formatregeln.

    Erfassen Sie im Bereich "Formatierungsvorschau" eine Zeichenkette, auf die die Formatierung angewendet wird. So können Sie die Auswirkungen Ihrer Formatierung auf das Suchkriterium testen.

  5. Wenden Sie die Formatregeln an.

    Aktivieren Sie Formatierung anwenden an den Spalten, für die das Suchkriterium eingeschränkt werden soll.

  6. Speichern Sie die Änderungen.

Für ein Suchkriterium können verschiedene Objekteigenschaften verknüpft werden. Dabei können sowohl UND- als auch ODER-Verknüpfungen realisiert werden.

Beispiel für eine UND-Verknüpfung

Um Personen an Notes Benutzerkonten zuzuordnen, müssen sowohl der Nachname als auch der Vorname von Person und Benutzerkonto identisch sein. Folgende Tabellenspalten werden gemappt:

UND

Person.Firstname – NotesUser.Firstname

Person.LastName – NotesUser.LastName

Beispiel für eine ODER-Verknüpfung

Um Personen an Active Directory Benutzerkonten zuzuordnen, müssen entweder das zentrale Benutzerkonto der Person und der Anmeldename des Benutzerkontos identisch sein oder der vollständige Name der Person und der Anzeigename des Benutzerkontos. Folgende Tabellenspalten werden gemappt:

ODER

Person.CentralAccount – ADSAccount.SAMAccountName

Person.InternalName – ADSAccount.DisplayName

Um Objekteigenschaften für ein Suchkriterium zu verknüpfen

  1. Markieren Sie im Bereich "Suchkriterien" den Operator, zu dem eine weitere Objekteigenschaft hinzugefügt werden soll. Klicken Sie Operator ändern, um den Operator für die Verknüpfung auszuwählen.
  2. Klicken Sie Hinzufügen | Kriterium.
  3. Wählen Sie die Objekteigenschaften für das Mapping aus.
  4. Definieren Sie Formatregeln und wenden Sie diese an.
  5. Wenn Sie Verknüpfungen verschachteln wollen, klicken Sie Hinzufügen | UND-Operator oder Hinzufügen | ODER-Operator und führen Sie die Schritte 2 bis 4 erneut aus.
  6. Speichern Sie die Änderungen.

Um ein Suchkriterium zu löschen

  1. Markieren Sie das Suchkriterium und klicken Sie Entfernen.
  2. Speichern Sie die Änderungen.
Direkte Zuordnung von Personen an Benutzerkonten anhand einer Vorschlagsliste

Im Bereich "Zuordnungen" können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen. Die Benutzerkonten sind dafür in verschiedenen Ansichten zusammengestellt.

Tabelle 7: Ansichten zur manuellen Zuordnung
Ansicht Beschreibung
Vorgeschlagene Zuordnungen Die Ansicht listet alle Benutzerkonten auf, denen der One Identity Manager eine Person zuordnen kann. Dazu werden die Personen angezeigt, die durch die Suchkriterien ermittelt und zugeordnet werden können.
Zugeordnete Benutzerkonten Die Ansicht listet alle Benutzerkonten auf, denen eine Person zugeordnet ist.
Ohne Personenzuordnung Die Ansicht listet alle Benutzerkonten auf, denen keine Person zugeordnet ist und für die über die Suchkriterien keine passende Person ermittelt werden kann.

TIPP: Mit Maus-Doppelklick auf einen Eintrag in den Ansichten werden das Benutzerkonto und die Person geöffnet und Sie können die Stammdaten einsehen.

Um die Suchkriterien auf die Benutzerkonten anzuwenden

  • Klicken Sie Neu laden.

    Für alle Benutzerkonten im Zielsystem werden die möglichen Zuordnungen anhand der Suchkriterien ermittelt. Die drei Ansichten werden aktualisiert.

Um Personen direkt über die Vorschlagsliste zuzuordnen

  1. Klicken Sie Vorgeschlagene Zuordnungen.
    1. Klicken Sie Auswahl für alle Benutzerkonten, denen die vorgeschlagene Person zugeordnet werden soll. Eine Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte zuweisen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die per Suchkriterium ermittelten Personen zugeordnet.

    – ODER –

  2. Klicken Sie Ohne Personenzuordnung.
    1. Klicken Sie Person auswählen... für das Benutzerkonto, dem eine Person zugeordnet werden soll. Wählen Sie eine Person aus der Auswahlliste.
    2. Klicken Sie Auswahl für alle Benutzerkonten, denen die ausgewählten Personen zugeordnet werden sollen. Eine Mehrfachauswahl ist möglich.
    3. Klicken Sie Ausgewählte zuweisen.
    4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die Personen zugeordnet, die in der Spalte "Person" angezeigt werden.

Um Zuordnungen zu entfernen

  1. Klicken Sie Zugeordnete Benutzerkonten.
    1. Klicken Sie Auswahl für alle Benutzerkonten, deren Personenzuordnung entfernt werden soll. Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte entfernen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Von den ausgewählten Benutzerkonten werden die zugeordneten Personen entfernt.

Related Documents