Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Verwalten einer LDAP-Umgebung Einrichten der Synchronisation mit einem LDAP Verzeichnis Basisdaten zur Konfiguration LDAP Domänen LDAP Benutzerkonten LDAP Gruppen LDAP Containerstrukturen LDAP Computer Berichte über LDAP Objekte Anhang: Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Anhang: Standardprojektvorlagen für LDAP Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Zusätzliche Aufgaben für die Verwaltung von LDAP Gruppen

Zusätzliche Aufgaben für die Verwaltung von LDAP Gruppen

Nachdem Sie die Stammdaten erfasst haben, können Sie verschiedene Aufgaben anwenden. Über die Aufgabenansicht stehen verschiedene Formulare zur Verfügung, mit denen Sie folgende Aufgaben ausführen können.

Überblick über die LDAP Gruppe

Überblick über die LDAP Gruppe

Über diese Aufgabe erhalten Sie einen Überblick über die wichtigsten Informationen zu einer Gruppe.

Um einen Überblick über eine Gruppe zu erhalten

  1. Wählen Sie die Kategorie LDAP | Gruppen.
  2. Wählen Sie in der Ergebnisliste die Gruppe.
  3. Wählen Sie die Aufgabe Überblick über die LDAP Gruppe.

Wirksamkeit von Gruppenmitgliedschaften

Wirksamkeit von Gruppenmitgliedschaften

Tabelle 42: Konfigurationsparameter für die bedingte Vererbung
Konfigurationsparameter Wirkung bei Aktivierung

QER\Structures\Inherite\GroupExclusion

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Wirksamkeit von Gruppenmitgliedschaften. Ist der Parameter aktiviert, können aufgrund von Ausschlussdefinitionen die Gruppenmitgliedschaften reduziert werden. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Person zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.

Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.

Hinweis:

  • Ein wechselseitiger Ausschluss zweier Gruppen kann nicht definiert werden. Das heißt, die Festlegung "Gruppe A schließt Gruppe B aus" UND "Gruppe B schließt Gruppe A aus" ist nicht zulässig.
  • Für eine Gruppe muss jede auszuschließende Gruppe einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
  • Ob die Mitgliedschaft einer ausgeschlossenen Gruppe in einer anderen Gruppe zulässig ist, wird durch den One Identity Manager nicht überprüft.

Die Wirksamkeit der Zuweisungen wird in den Tabellen LDAPAccountInLDAPGroup und BaseTreeHasLDAPGroupüber die Spalte XIsInEffect abgebildet.

Beispiel für die Wirksamkeit von Gruppenmitgliedschaften
  • In einer Domäne ist eine Gruppe A mit Berechtigungen zum Auslösen von Bestellungen definiert. Eine Gruppe B berechtigt zum Anweisen von Zahlungen. Eine Gruppe C berechtigt zum Prüfen von Rechnungen.
  • Gruppe A wird über die Abteilung "Marketing", Gruppe B über die Abteilung "Finanzen" und Gruppe C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.

Clara Harris hat ein Benutzerkonto in dieser Domäne. Sie gehört primär der Abteilung "Marketing" an. Sekundär sind ihr die Geschäftsrolle "Kontrollgruppe" und die Abteilung "Finanzen" zugewiesen. Ohne Ausschlussdefinition erhält das Benutzerkonto alle Berechtigungen der Gruppen A, B und C.

Durch geeignete Maßnahmen soll verhindert werden, dass eine Person sowohl Bestellungen auslösen als auch Rechnungen zur Zahlung anweisen kann. Das heißt, die Gruppen A und B schließen sich aus. Eine Person, die Rechnungen prüft, darf ebenfalls keine Rechnungen zur Zahlung anweisen. Das heißt, die Gruppen B und C schließen sich aus.

Tabelle 43: Festlegen der ausgeschlossenen Gruppen (Tabelle LDAPGroupExclusion)
Wirksame Gruppe Ausgeschlossene Gruppe
Gruppe A
Gruppe B Gruppe A
Gruppe C Gruppe B
Tabelle 44: Wirksame Zuweisungen
Person Mitglied in Rolle Wirksame Gruppe
Ben King Marketing Gruppe A
Jan Bloggs Marketing, Finanzen Gruppe B
Clara Harris Marketing, Finanzen, Kontrollgruppe Gruppe C
Jenny Basset Marketing, Kontrollgruppe Gruppe A, Gruppe C

Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins ZielsystemClosed publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.

Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Das heißt, die Person ist berechtigt Bestellungen auszulösen und Rechnungen zu prüfen. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.

Tabelle 45: Ausgeschlossene Gruppen und wirksame Zuweisungen
Person Mitglied in Rolle Zugewiesene Gruppe Ausgeschlossene Gruppe Wirksame Gruppe

Jenny Basset

 

Marketing Gruppe A  

Gruppe C

 

Kontrollgruppe Gruppe C Gruppe B

Gruppe A

Voraussetzungen
  • Der Konfigurationsparameter "QER\Structures\Inherite\GroupExclusion" ist aktiviert.
  • Sich ausschließende Gruppen gehören zur selben Domäne.

Um Gruppen auszuschließen

  1. Wählen Sie die Kategorie LDAP | Gruppen.
  2. Wählen Sie in der Ergebnisliste eine Gruppe.
  3. Wählen Sie die Aufgabe Gruppen ausschließen.
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.

  5. Speichern Sie die Änderungen.

Vererbung von LDAP Gruppen anhand von Kategorien

Vererbung von LDAP Gruppen anhand von Kategorien

Im One Identity Manager können Gruppenselektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Die Kategorien sind frei wählbar und werden über eine Abbildungsvorschrift festgelegt. Jede der Kategorien erhält innerhalb dieser Abbildungsvorschrift eine bestimmte Position. Die Abbildungsvorschrift enthält zwei Tabellen; die Benutzerkontentabelle und die Gruppentabelle. In der Benutzerkontentabelle legen Sie Ihre Kategorien für die zielsystemabhängigen Benutzerkonten fest. In der Gruppentabelle geben Sie Ihre Kategorien für die zielsystemabhängigen Gruppen an. Jede Tabelle enthält die Kategoriepositionen "Position1" bis "Position 31".

Jedes Benutzerkonto kann einer oder mehreren Kategorien zugeordnet werden. Jede Gruppe kann ebenfalls einer oder mehreren Kategorien zugeteilt werden. Stimmt mindestens eine der Kategoriepositionen zwischen Benutzerkonto und zugewiesener Gruppe überein, wird die Gruppe an das Benutzerkonto vererbt. Ist die Gruppe oder das Benutzerkonto nicht in Kategorien eingestuft, dann wird die Gruppe ebenfalls an das Benutzerkonto vererbt.

Hinweis: Die Vererbung über Kategorien wird nur bei der indirekten Zuweisung von Gruppen über hierarchische Rollen berücksichtigt. Bei der direkten Zuweisung von Gruppen an Benutzerkonten werden die Kategorien nicht berücksichtigt.
Tabelle 46: Beispiele für Kategorien
Kategorieposition Kategorien für Benutzerkonten Kategorien für Gruppen
1 Standardbenutzer Standardberechtigung
2 Systembenutzer Systembenutzerberechtigung
3 Systemadministrator Systemadministratorberechtigung

Abbildung 2: Beispiel für die Vererbung über Kategorien

Um die Vererbung über Kategorien zu nutzen

  • Definieren Sie an der Domäne die Kategorien.
  • Weisen Sie die Kategorien den Benutzerkonten und Kontakten über ihre Stammdaten zu.
  • Weisen Sie die Kategorien den Gruppen über ihre Stammdaten zu.
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating