Beim Löschen einer Person wird geprüft, ob der Person noch Benutzerkonten und Unternehmensressourcen zugeordnet sind oder ob Bestellungen im IT Shop offen sind. Die Person wird zum Löschen markiert und somit für jede weitere Bearbeitung gesperrt. Bevor eine Person endgültig aus der One Identity Manager Datenbank gelöscht werden kann, müssen sämtliche Zuweisungen von Unternehmensressourcen entfernt und Bestellungen abgeschlossen werden. Führen Sie diese Aufgabe manuell durch oder implementieren Sie unternehmensspezifische Prozesse. Alle mit einer Person verbundenen Benutzerkonten können unter bestimmten Voraussetzung standardmäßig durch den One Identity Manager gelöscht werden, sobald eine Person gelöscht wird. Wenn der Person keine weiteren Unternehmensressourcen zugewiesen sind, wird danach auch die Person endgültig gelöscht.
Szenario: Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.
Szenario: Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.
Werden die Benutzerkonten über Kontendefinitionen verwaltet, dann können Sie das gewünschte Verhalten für die Behandlung der Benutzerkonten und Gruppenmitgliedschaften bei zeitweiliger Deaktivierung, dauerhafter Deaktivierung, Löschen und Sicherheitsgefährdung von Personen über die Kontendefinitionen und Automatisierungsgrade festlegen.
Durch den Zusammenhang eines Zielsystems mit einer Kontendefinition können Sie für jedes Zielsystem eines Zielsystemtyps eine gesonderte Behandlung definieren. Weitere Informationen finden Sie unter Verwenden von Kontendefinitionen zum Erzeugen von Benutzerkonten.
Folgende Verhalten können konfiguriert werden:
Für jede Kontendefinition wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf Zuweisung der Kontendefinition selbst auswirken soll. Die Einstellungen eventueller Vorgängerkontendefinitionen werden dabei überschrieben.
Die Zuweisung von Kontendefinitionen an deaktivierte Personen kann beispielsweise gewünscht sein, um bei späterer Aktivierung der Person sicherzustellen, dass sofort alle erforderlichen Berechtigungen ohne Zeitverlust zur Verfügung stehen.
|
Wichtig: Solange eine Kontendefinition für eine Person wirksam ist, behält die Person ihre verbundenen Benutzerkonten. Wird die Zuweisung einer Kontendefinition nicht mehr wirksam, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht. |
Zur Abbildung des Verhaltens stehen an einer Kontendefinition die folgenden Optionen zur Verfügung.
Eigenschaft | Beschreibung |
---|---|
Kontendefinition bei dauerhafter Deaktivierung beibehalten |
Angabe zur Zuweisung der Kontendefinition an dauerhaft deaktivierte Personen. Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten. Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht. |
Kontendefinition bei zeitweiliger Deaktivierung beibehalten |
Angabe zur Zuweisung der Kontendefinition an zeitweilig deaktivierte Personen. Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten. Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht. |
Kontendefinition bei verzögertem Löschen beibehalten |
Angabe zur Zuweisung der Kontendefinition bei verzögertem Löschen von Personen. Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten. Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht. |
Kontendefinition bei Sicherheitsgefährdung beibehalten |
Angabe zur Zuweisung der Kontendefinition an sicherheitsgefährdende Personen. Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten. Option nicht aktiviert: Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht. |
Für jeden Automatisierungsgrad wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten auswirken soll.
Um bei Deaktivierung oder Löschen einer Person die Berechtigungen zu entziehen, können die Benutzerkonten der Person gesperrt werden. Wird die Person zu einem späteren Zeitpunkt wieder aktiviert, werden ihre Benutzerkonten ebenfalls wieder freigeschaltet.
Zur Behandlung der Benutzerkonten sind an einer Kontendefinition für jeden Automatisierungsgrad die folgenden Optionen verfügbar.
Eigenschaft | Beschreibung |
---|---|
Benutzerkonten bei zeitweiliger Deaktivierung sperren |
Angabe, ob die Benutzerkonten zeitweilig deaktivierter Personen gesperrt werden sollen. |
Benutzerkonten bei dauerhafter Deaktivierung sperren |
Angabe, ob die Benutzerkonten dauerhaft deaktivierter Personen gesperrt werden sollen. |
Benutzerkonten bei verzögertem Löschen sperren |
Angabe, ob die Benutzerkonten zum Löschen markierter Personen gesperrt werden sollen. |
Benutzerkonten bei Sicherheitsgefährdung sperren |
Angabe, ob die Benutzerkonten von sicherheitsgefährdenden Personen gesperrt werden sollen. |
Für jeden Automatisierungsgrad wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf die Gruppenmitgliedschaften der Benutzerkonten auswirken soll.
Ist eine Person deaktiviert oder zum Löschen markiert, so können Sie für das Zielsystem einer Kontendefinition die Vererbung der Gruppenmitgliedschaften unterbinden. Dieses Verhalten kann gewünscht sein, wenn die Benutzerkonten und Postfächer einer Person gesperrt sind und somit auch nicht in Verteilerlisten Mitglied sein dürfen. Während der Zeit der Deaktivierung sollten keine Vererbungsvorgänge für diese Personen berechnet werden. Bestehende Gruppenmitgliedschaften werden gelöscht.
Zur Behandlung der Gruppenmitgliedschaften sind an einer Kontendefinition für jeden Automatisierungsgrad die folgenden Optionen verfügbar.
Eigenschaft | Beschreibung |
---|---|
Gruppen bei zeitweiliger Deaktivierung beibehalten |
Angabe, ob die Benutzerkonten zeitweilig deaktivierter Personen ihre Gruppenmitgliedschaften behalten sollen. |
Gruppen bei dauerhafter Deaktivierung beibehalten |
Angabe, ob Benutzerkonten dauerhaft deaktivierter Personen Gruppenmitgliedschaften erben sollen. |
Gruppen bei verzögertem Löschen beibehalten |
Angabe, ob die Benutzerkonten zum Löschen markierter Personen ihre Gruppenmitgliedschaften behalten sollen. |
Gruppen bei Sicherheitsgefährdung beibehalten |
Angabe, ob die Benutzerkonten von sicherheitsgefährdenden Personen ihre Gruppenmitgliedschaften behalten sollen. |
Gruppen bei deaktiviertem Benutzerkonto beibehalten |
Angabe, ob deaktivierte Benutzerkonten ihre Gruppenmitgliedschaften behalten sollen. |
Der Unified Namespace ist ein virtuelles System, in dem die unterschiedlichsten Zielsysteme mit ihren Strukturen, Benutzerkonten, Systemberechtigungen und Mitgliedschaften abgebildet werden. Durch den Unified Namespace wird eine allgemeine, zielsystemübergreifende Abbildung aller angeschlossenen Zielsysteme erreicht. Dabei können Zielsysteme wie beispielsweise Active Directory Domänen ebenso abgebildet werden wie kundendefinierte Zielsysteme.
Durch die Abbildung der Zielsysteme im Unified Namespace können Sie weitere Kernfunktionen des One Identity Manager, wie das Identity Audit, die Attestierung oder die Berichtsfunktion, zielsystemübergreifend nutzen. Verschiedene Berichte werden standardmäßig mitgeliefert.
Jeder Objekttyp des Unified Namespace vereinigt verschiedene Tabellen des One Identity Manager-Datenmodells, in denen die Objekte der angeschlossenen Zielsysteme abgebildet sind. Die verschiedenen Zielsystemtabellen werden in Datenbanksichten vereinigt. Dadurch können die unterschiedlichen Objekteigenschaften einheitlich abgebildet werden.
Um Complianceprüfungen oder Attestierungen zielsystemübergreifend durchzuführen und um zielsystemübergreifende Berichte zu erstellen, nutzen Sie die folgenden Datenbanksichten.
Die Sicht UNSRoot bildet die Basisobjekte der Synchronisation der Zielsysteme ab.
Zielsystemtyp |
Tabelle |
---|---|
Active Directory |
ADSDomain |
Microsoft Exchange |
EX0Organization |
SharePoint |
SPSSite |
IBM Notes |
NotesDomain |
SAP R/3 |
SAPMandant |
LDAP |
LDPDomain |
Kundendefinierte Zielsysteme |
UNSRootB |
Unix |
UNXHost |
Azure Active Directory |
AADOrganization |
G Suite |
GAPCustomer |
Cloud Zielsysteme |
CSMRoot |
Die Sicht UNSContainer bildet die Containerstrukturen der Zielsysteme ab.
Zielsystemtyp |
Tabelle |
---|---|
Active Directory |
ADSContainer |
SharePoint |
SPSWeb |
LDAP |
LDAPContainer |
Kundendefinierte Zielsysteme |
UNSContainerB |
Cloud Zielsysteme |
CSMContainer |
G Suite |
GAPOrgUnit |
Die Sicht UNSAccount bildet die Benutzerkonten der Zielsysteme ab.
Zielsystemtyp |
Tabelle |
---|---|
Active Directory |
ADSAccount, ADSContact |
Microsoft Exchange |
EX0MailUser, EX0MailContact, EX0Mailbox |
SharePoint |
SPSUser |
IBM Notes |
NotesUser |
SAP R/3 |
SAPUser, SAPBWUser |
LDAP |
LDAPAccount |
Kundendefinierte Zielsysteme |
UNSAccounB |
Unix |
UNXAccount |
Azure Active Directory |
AADUser |
Exchange Online |
O3EMailbox, O3EMailContact, O3EMailUser |
G Suite |
GAPUser |
Cloud Zielsysteme |
CSMUser |
Die Sicht UNSGroup bildet die Systemberechtigungen der Zielsysteme ab, wie beispielsweise Gruppen, Rollen, Profile.
Zielsystemtyp |
Tabelle |
---|---|
Active Directory |
ADSGroup |
Microsoft Exchange |
EX0DL |
SharePoint |
SPSGroup, SPSRLAsgn |
IBM Notes |
NotesGroup |
SAP R/3 |
SAPGrp, SAPProfile, SAPRole, SAPHRP, SAPBWP |
LDAP |
LDAPGroup |
Kundendefinierte Zielsysteme |
UNSGroupB |
Unix |
UNXGroup |
Azure Active Directory |
AADGroup, AADDeniedServicePlan, AADDirectoryRole, AADSubSku |
Exchange Online |
O3EDL, O3EUnifiedGroup |
G Suite |
GAPGroup |
G Suite |
GAPPaSku |
Cloud Zielsysteme |
CSMGroup |
Die Sicht UNSItem bildet zusätzliche Berechtigungselemente der Zielsysteme ab.
Zielsystemtyp |
Tabelle |
---|---|
Kundendefinierte Zielsysteme |
UNSItemB |
Cloud Zielsysteme |
CSMItem |
Die Sicht UNSAccountInUNSGroup bildet die Zuweisungen von Systemberechtigungen an Benutzerkonten der Zielsysteme ab.
Zielsystemtyp |
Tabelle |
---|---|
Active Directory |
ADSAccountInADSGroup, ADSContactInADSGroup |
SharePoint |
SPSUserInSPSGroup, SPSUserHASSPSRLAsgn |
IBM Notes |
NotesUserInGroup |
SAP R/3 |
SAPUserInSAPGrp, SAPUSerInSAPRole, SAPUserInSAPProfile, SAPUserInSAPHRP, SAPBWUserInSAPBWP |
LDAP |
LDAPAccountInLDAPGroup |
Kundendefinierte Zielsysteme |
UNSAccounBInUNSGroupB |
Unix |
UNXAccountInUNXGroup |
Azure Active Directory |
AADUserHasDeniedService, AADUserInDirectoryRole, AADUserInAADGroup |
Exchange Online |
O3EAADUserInUnifiedGroup, O3EMailboxInDL, O3EMailContactInDL, O3EMailUserInDL |
G Suite |
GAPUserInGroup |
G Suite |
GAPUserInPaSku |
Cloud Zielsysteme |
CSMUserInGroup |
Die Sicht UNSAccountHasUNSItem bildet die Zuweisungen zusätzlicher Berechtigungselemente zu den Benutzerkonten der Zielsysteme ab.
Zielsystemtyp |
Tabelle |
---|---|
Kundendefinierte Zielsysteme |
UNSAccountBHasUNSItemB |
Cloud Zielsysteme |
CSMUserHasItem |
Die Sicht UNSGroupInUNSGroup bildet die Zuweisungen von Systemberechtigungen an Systemberechtigungen der Zielsysteme ab.
Zielsystemtyp |
Tabelle |
---|---|
Active Directory |
ADSGroupInADSGroup |
SharePoint |
SPSGroupHasSPSRLAsgn |
IBM Notes |
NotesGroupInGroup |
SAP R/3 |
SAPProfileInSAPProfile, SAPRoleInSAPRole, SAPProfileInSAPRole |
LDAP |
LDAPGroupInLDAPGroup |
Kundendefinierte Zielsysteme |
UNSGroupBInUNSGroupB |
Azure Active Directory |
AADGroupInGroup, |
Exchange Online |
O3EDLInDL |
G Suite |
GAPGroupInGroup |
Cloud Zielsysteme |
CSMGroupInGroup |
Die Sicht UNSGroupHasUNSItem bildet die Zuweisungen zusätzlicher Berechtigungselemente zu den Systemberechtigungen der Zielsysteme ab.
Zielsystemtyp |
Tabelle |
---|---|
Kundendefinierte Zielsysteme |
UNSGroupBHasUNSItemB |
Cloud Zielsysteme |
CSMGroupHasItem |
Die Sicht UNSGroupExclusion bildet die Definition von Systemberechtigungen ab, die einander ausschließen.
Zielsystemtyp |
Tabelle |
---|---|
Active Directory |
ADSGroupExclusion |
SharePoint |
SPSGroupExclusion, SPSRLAsgnExclusion |
IBM Notes |
NotesGroupExclusion |
SAP R/3 |
SAPGrpExclusion, SAPProfileExclusion, SAPRoleExclusion |
LDAP |
LDAPGroupExclusion |
Kundendefinierte Zielsysteme |
UNSGroupBExclusion |
Unix |
UNXGroupExclusion |
Azure Active Directory |
AADGroupExclusion, AADSubSkuExclusion |
G Suite |
GAPGroupExclusion |
Cloud Zielsysteme |
CSMGroupExclusion |
Die Sicht UNSGroupCollection bildet Hierarchien von Systemberechtigungen ab.
Zielsystemtyp |
Tabelle |
---|---|
Active Directory |
ADSGroupCollection |
SharePoint |
SPSGroupCollection,SPSRLAsgn |
IBM Notes |
NotesGroupCollection |
SAP R/3 |
SAPCollectionRPG |
LDAP |
LDAPGroupCollection |
Kundendefinierte Zielsysteme |
UNSGroupBCollection |
Unix-basierte Zielsysteme |
UNXGroupExclusion |
Azure Active Directory |
AADGroupCollection |
Exchange Online |
O3EDLCollection |
G Suite |
GAPGroupCollection |
Cloud Zielsysteme |
CSMGroupCollection |
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy