Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für das Zielsystem-Basismodul

Anpassen der Skripte für die automatische Personenzuordnung

Anpassen der Skripte für die automatische Personenzuordnung

Die automatische Personenzuordnung wird durch Skripte gesteuert. Diese Skripte ordnen im Modus „SEARCH“ anhand der definierten Suchkriterien vorhandene Personen an die Benutzerkonten zu. Darüber hinaus definieren die Skripte für den Modus „CREATE“ die Eigenschaften, die bei Erzeugung einer neuen Person initialisiert werden. Diese Skripte sind in einer One Identity Manager Standardinstallation für jeden Zielsystemtyp implementiert. Der Name der Skripte lautet:

<Zielsystemtyp>_PersonAuto_Mapping_<Kontotyp>

wobei:

<Zielsystemtyp> = Kurzbezeichnung des angesprochenen Zielsystemtyps

<Kontotyp> = Tabelle, welche die Benutzerkonten enthält

TIPP: Um die Suchkriterien für die automatische Personenzuordnung oder die Eigenschaften der neu zu erzeugenden Personen zu erweitern, können Sie die Skripte unternehmensspezifisch anpassen. Die Skripte sind überschreibbar. Erstellen Sie dafür eine Kopie eines vorhandenen Skripts und erweitern Sie die Kopie unternehmensspezifisch.

Bei der automatischen Personenzuordnung im Modus „CREATE“ werden einige Eigenschaften des Benutzerkontos an das neue Personenobjekt übergeben. Diese Personeneigenschaften werden ebenfalls über die Skripte definiert. Die Initialisierung von Eigenschaften bei der Erzeugung einer Person zu einem Benutzerkonto erfolgt dabei über die Auswertung der Einträge in der Tabelle DialogNotification. In dieser Tabelle werden die über Bildungsregeln verbundenen Eigenschaften als Sender-Empfänger-Paar abgebildet. Die Auswertung der Einträge in DialogNotification ist nachfolgend beispielhaft für die Initialisierung des Nachnamens einer Person erläutert.

Beispiel:

Der Nachname eines Active Directory Benutzerkontos wird aus dem Nachnamen der Person gebildet.

Bildungsregel auf ADSAccount.Surname:

Value = $FK(UID_Person).Lastname$

Erfolgt eine Änderung des Nachnamens der Person wird der Nachname des Active Directory Benutzerkontos ebenfalls geändert. Die Spalte Person.Lastname ist somit der Sender und die Spalte ADSAccount.Surname ist der Empfänger.

Beziehung laut Tabelle DialogNotification:

Person.Lastname -- > ADSAccount.Surname

Die Tabelle DialogNotification kann beim Initialisieren der Eigenschaften einer neuen Person zur Hilfe genommen werden, indem diese Beziehungen rückwärts aufgelöst werden. Der Nachname der Person kann durch den Nachnamen des Active Directory Benutzerkontos bestückt werden. Damit können also bereits einige Vorbesetzungen für das Personenobjekt automatisch generiert werden. Allerdings können nur eineindeutige Beziehungen aufgelöst werden.

Beispiel:

Der Anzeigename eines Active Directory Benutzerkontos soll aus dem Nachnamen und dem Vornamen einer Person gebildet werden.

Beziehungen laut Tabelle DialogNotification:

Person.Lastname -- > ADSAccount.Displayname

Person.Firstname -- > ADSAccount.Displayname

Hier können Person.Firstname und Person.Lastname nicht aus ADSAccount.Displayname ermittelt werden, da dieser ein zusammengesetzter Wert ist.

Um das Mapping von Benutzerkontoeigenschaften auf Personeneigenschaften zu erleichtern, können Sie das Skript VI_PersonAuto_GetPropMappings nutzen. Das Skript wertet die Beziehungen von Eigenschaften unter Nutzung der Tabelle DialogNotification aus. Das Skript erzeugt bei Ausführung über den System Debugger einen VB.Net Skriptcode mit den möglichen Zuweisungen. Diesen Code können Sie dann in das jeweilige Skript <Zielsystemtyp>_PersonAuto_Mapping_<Kontotyp> einfügen.

Beispielausgabe des Skripts VI_PersonAuto_GetPropMappings

' PROPERTY MAPPINGS ADSAccount - Person

' ADSAccount.Initials -- > Person.Initials

' ADSAccount.Department -- > Person.UID_Department

...

Try

Person("Initials").NewValue = Acc.GetValue("Initials").String

Catch ex As Exception

End Try

Try

Person("UID_Department").NewValue = Acc.GetValue("Department").String

Catch ex As Exception

End Try

...

Deaktivieren und Löschen von Personen und Benutzerkonten

Der Umgang mit Personen, vor allem beim dauerhaften oder zeitweisen Ausscheiden einer Person aus dem Unternehmen, wird in den einzelnen Unternehmen unterschiedlich gehandhabt. Es gibt Unternehmen, die Personen nie löschen, sondern nur deaktivieren, wenn sie das Unternehmen verlassen. Andere Unternehmen wollen Personen löschen, jedoch erst dann, wenn sichergestellt ist, dass alle Benutzerkonten gelöscht wurden.

Wie Benutzerkonten behandelt werden, wenn Personen deaktiviert oder gelöscht werden, ist abhängig von der Art der Verwaltung der Benutzerkonten. Es gelten folgende Szenarien:

  1. Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.
  2. Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

Folgende Verfahren sind in der Standardinstallation des One Identity Manager verfügbar:

Zeitweilige Deaktivierung einer Person

Zeitweilige Deaktivierung einer Person

Die Person ist momentan nicht im Unternehmen, mit der Rückkehr wird zu einem definierten Termin gerechnet. Das gewünschte Verhalten kann sein, dass die Benutzerkonten gesperrt werden und alle Gruppenmitgliedschaften entzogen werden. Oder es sollen die Benutzerkonten gelöscht, bei Wiedereintritt jedoch wieder hergestellt werden, wenn auch mit einer neuen System Identifikationsnummer (SID).

Die zeitweilige Deaktivierung einer Person wird ausgelöst durch:

  • die Option Zeitweilig deaktiviert
  • das Start- und Enddatum der Deaktivierung (Zeitweilig deaktiviert ab und Zeitweilig deaktiviert bis)

Hinweis: Konfigurieren und aktivieren Sie im Designer den Zeitplan "Benutzerkonten ausgeschiedener Personen sperren". Dieser Zeitplan prüft das Startdatum der Deaktivierung und setzt bei Erreichen des Startdatums die Option Zeitweilig deaktiviert.

Hinweis: Konfigurieren und aktivieren Sie im Designer den Zeitplan "Zeitweise deaktivierte Benutzerkonten aktivieren". Dieser Zeitplan überwacht das Enddatum der Deaktivierung und aktiviert bei Ablauf des Datums die Person und ihre Benutzerkonten wieder. Benutzerkonten einer Person, die bereits vor einer zeitweiligen Deaktivierung der Person deaktiviert waren, werden nach Ablauf des Zeitraumes ebenfalls wieder aktiviert.

Szenario: Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen die zeitweilige Deaktivierung der Person auf die Benutzerkonten haben soll.

Szenario: Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

  • Legen Sie das gewünschte Verhalten über den Konfigurationsparameter "QER\Person\TemporaryDeactivation" fest. Ist der Konfigurationsparameter aktiviert, werden für die Zeit der zeitweiligen Deaktivierung die Benutzerkonten der Person gesperrt. Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der verbundenen Person keinen Einfluss auf die Benutzerkonten.
Verwandte Themen

Dauerhafte Deaktivierung einer Person

Dauerhafte Deaktivierung einer Person

Personen können dauerhaft deaktiviert werden, beispielsweise wenn sie aus dem Unternehmen ausscheiden. Dabei kann es erforderlich sein, dass diesen Personen ihre Berechtigungen in den angeschlossenen Zielsystem und ihre Unternehmensressourcen entzogen werden.

Die Auswirkungen der dauerhaften Deaktivierung einer Person sind:

  • Die Person kann nicht als Manager an Personen zugewiesen werden.
  • Die Person kann nicht als Verantwortlicher an Rollen zugewiesen werden.
  • Die Person kann nicht als Eigentümer an Attestierungsrichtlinien zugewiesen werden.
  • Es erfolgt keine Vererbung von Unternehmensressourcen über Rollen, wenn zusätzlich die Option Keine Vererbung an der Person aktiviert ist.
  • Benutzerkonten der Person werden gesperrt oder gelöscht und den Benutzerkonten werden die Gruppenmitgliedschaften entzogen.

Die dauerhafte Deaktivierung einer Person wird ausgelöst über:

  • die Aufgabe Person dauerhaft deaktivieren

    Die Aufgabe sorgt dafür, dass die Option Dauerhaft deaktiviert aktiviert wird und das Austrittsdatum und das Datum des letzten Arbeitstages auf den aktuellen Tag gesetzt werden.

  • das Erreichen des Austrittsdatums

    Hinweis: Konfigurieren und aktivieren Sie im Designer den Zeitplan "Benutzerkonten ausgeschiedener Personen sperren". Dieser Zeitplan prüft das Austrittsdatum und setzt bei Erreichen des Austrittsdatums die Option Dauerhaft deaktiviert.

    Hinweis: Die Aufgabe Person erneut aktivieren sorgt dafür, dass die Person wieder aktiviert wird.
  • den Zertifizierungsstatus "Abgelehnt"

    Wenn der Zertifizierungsstatus einer Person durch Attestierung oder manuell auf "Abgelehnt" gesetzt wird, wird die Person sofort dauerhaft deaktiviert. Wird der Zertifizierungsstatus auf "Zertifiziert" geändert, wird die Person wieder aktiviert.

    Hinweis: Diese Funktion steht zur Verfügung, wenn das Modul Attestierung vorhanden ist.

Szenario: Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

  • Legen Sie an den Kontendefinitionen fest, welche Auswirkungen die zeitweilige Deaktivierung der Person auf die Benutzerkonten haben soll.

Szenario: Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

  • Legen Sie das gewünschte Verhalten über den Konfigurationsparameter "QER\Person\TemporaryDeactivation" fest. Ist der Konfigurationsparameter aktiviert, werden für die Zeit der zeitweiligen Deaktivierung die Benutzerkonten der Person gesperrt. Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der verbundenen Person keinen Einfluss auf die Benutzerkonten.
Verwandte Themen
Related Documents