Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Verwalten einer LDAP-Umgebung Einrichten der Synchronisation mit einem LDAP Verzeichnis Basisdaten zur Konfiguration LDAP Domänen LDAP Benutzerkonten LDAP Gruppen LDAP Containerstrukturen LDAP Computer Berichte über LDAP Objekte Anhang: Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Anhang: Standardprojektvorlagen für LDAP Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

LDAP Computer direkt an LDAP Gruppen zuweisen

LDAP Computer direkt an LDAP Gruppen zuweisen

Gruppen können direkt oder indirekt an Computer zugewiesen werden. Die indirekte Zuweisung erfolgt über die Einordnung des Gerätes, mit dem ein Computer verbunden ist und der Gruppen in Unternehmensstrukturen, wie Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen.

Um auf Sonderanforderungen schnell zu reagieren, können Sie einem Computer die Gruppen auch direkt zuweisen.

Hinweis: Computer können nicht manuell in dynamische Gruppen aufgenommen werden. Die Mitgliedschaften in einer dynamischen Gruppe werden über die Bedingung der dynamischen Gruppe ermittelt.

Um einen Computer direkt an Gruppen zuzuweisen

  1. Wählen Sie die Kategorie LDAP | Computer.
  2. Wählen Sie in der Ergebnisliste den Computer.
  3. Wählen Sie die Aufgabe Gruppen zuweisen.
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen.

  5. Speichern Sie die Änderungen.
Verwandte Themen

Berichte über LDAP Objekte

Berichte über LDAP Objekte

Der One Identity Manager stellt verschiedene Berichte zur Verfügung, in denen Informationen über das ausgewählte BasisobjektClosed und seine Beziehungen zu anderen Objekten der One Identity Manager-Datenbank aufbereitet sind. Für LDAP stehen folgende Berichte zur Verfügung.

Hinweis: Abhängig von den vorhandenen Modulen können weitere Berichte zur Verfügung stehen.
Tabelle 51: Berichte für das Zielsystem

Bericht

Beschreibung

Übersicht aller Zuweisungen (Domäne)

Der Bericht ermittelt alle Rollen, in denen sich Personen befinden, die in der ausgewählten Domäne mindestens ein Benutzerkonto besitzen.

Übersicht aller Zuweisungen (Container)

Der Bericht ermittelt alle Rollen, in denen sich Personen befinden, die im ausgewählten Container mindestens ein Benutzerkonto besitzen.

Übersicht aller Zuweisungen (Gruppe)

Der Bericht ermittelt alle Rollen, in denen sich Personen befinden, die die ausgewählte Gruppe besitzen.

Unverbundene Benutzerkonten anzeigen

Der Bericht zeigt alle Benutzerkonten der Domäne, denen keine Person zugeordnet ist. Der Bericht enthält die Gruppenmitgliedschaften und die Risikoeinschätzung.

Personen mit mehreren Benutzerkonten anzeigen

Der Bericht zeigt alle Personen, die mehrere Benutzerkonten in der Domäne besitzen. Der Bericht enthält eine Risikoeinschätzung.

Ungenutzte Benutzerkonten anzeigen

Der Bericht enthält alle Benutzerkonten der Domäne, die in den letzten Monaten nicht verwendet wurden. Der Bericht enthält die Gruppenmitgliedschaften und die Risikoeinschätzung.

Abweichende Systemberechtigungen anzeigen

Der Bericht enthält alle Gruppen der Domäne, die aus manuellen Operationen im Zielsystem resultieren und nicht aus der ProvisionierungClosed über den One Identity Manager.

Benutzerkonten mit einer überdurchschnittlichen Anzahl an Systemberechtigungen anzeigen

Der Bericht enthält alle Benutzerkonten der Domäne, die eine überdurchschnittliche Anzahl an Gruppenmitgliedschaften besitzen.

LDAP Benutzerkonten- und Gruppenverteilung

Der Bericht enthält eine Zusammenfassung zur Benutzerkonten- und Gruppenverteilung aller Domänen. Den Bericht finden Sie in der Kategorie Mein One Identity Manager.

Datenqualität der LDAP Benutzerkonten

Der Bericht enthält verschiedenen Auswertungen zur Datenqualität der Benutzerkonten aller Domänen. Den Bericht finden Sie in der Kategorie Mein One Identity Manager.

Verwandte Themen

Übersicht aller Zuweisungen

Übersicht aller Zuweisungen

Für einige Objekte, wie beispielsweise Berechtigungen, Complianceregeln oder Rollen wird der Bericht "Übersicht aller Zuweisungen" angezeigt. Der Bericht ermittelt alle Rollen, wie beispielsweise Abteilungen, Kostenstellen, Standorte, Geschäftsrollen und IT Shop Strukturen, in denen sich Personen befinden, die das gewählte BasisobjektClosed besitzen. Dabei werden sowohl direkte als auch indirekte Zuweisungen des Basisobjektes berücksichtigt.

Beispiele
  • Wird der Bericht für eine Ressource erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Ressource besitzen.
  • Wird der Bericht für eine Gruppe erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Gruppe besitzen.
  • Wird der Bericht für eine Complianceregel erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Complianceregel verletzten.
  • Wird der Bericht für eine Abteilung erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Abteilung ebenfalls Mitglied sind.
  • Wird der Bericht für eine Geschäftsrolle erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Geschäftsrolle ebenfalls Mitglied sind.

Um detaillierte Informationen über Zuweisungen anzuzeigen

  • Um den Bericht anzuzeigen, wählen Sie in der Navigation oder in der Ergebnisliste das Basisobjekt und wählen Sie den Bericht Übersicht aller Zuweisungen.
  • Wählen Sie über die Schaltfläche Verwendet von in der Symbolleiste des Berichtes, die Rollenklasse (Abteilung, Kostenstelle, Standort, Geschäftsrolle oder IT Shop Struktur), für die Sie ermitteln möchten, ob es Rollen gibt, in denen sich Personen mit dem ausgewählten Basisobjekt befinden.

    Angezeigt werden alle Rollen der gewählten Rollenklasse. Die Färbung der Steuerelemente zeigt an, in welcher Rolle sich Personen befinden, denen das ausgewählte Basisobjekt zugewiesen ist. Die Bedeutung der Steuerelemente des Berichts ist in einer separaten Legende erläutert. Die Legende erreichen Sie über das Symbol in der Symbolleiste des Berichtes.

  • Mit einem Maus-Doppelklick auf das Steuerelement einer Rolle zeigen Sie alle untergeordneten Rollen der ausgewählten Rolle an.
  • Mit einem einfachen Mausklick auf die Schaltfläche im Steuerelement einer Rolle zeigen Sie alle Personen dieser Rolle an, die das Basisobjekt besitzen.
  • Über den Pfeil rechts neben der Schaltfläche starten Sie einen Assistenten, mit dem Sie die Liste der angezeigten Personen zur Nachverfolgung speichern können. Dabei wird eine neue Geschäftsrolle erstellt und die Personen werden der Geschäftsrolle zugeordnet.

Abbildung 3: Symbolleiste des Berichts "Übersicht aller Zuweisungen"

Tabelle 52: Bedeutung der Symbole in der Symbolleiste des Berichts
Symbol Bedeutung
Anzeigen der Legende mit der Bedeutung der Steuerelemente des Berichts.
Speichern der aktuellen Ansicht des Berichts als Bild.
Auswählen der Rollenklasse, über die der Bericht erstellt werden soll.

Anzeige aller Rollen oder Anzeige der betroffenen Rolle.

Anhang: Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung

Anhang: Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 53: Konfigurationsparameter für die Synchronisation mit einem LDAP-Verzeichnis
Konfigurationsparameter Beschreibung

TargetSystem\LDAP

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung des Zielsystems LDAP. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

TargetSystem\LDAP\Accounts

Der Konfigurationsparameter erlaubt die Konfiguration der Angaben zu Benutzerkonten.

TargetSystem\LDAP\Accounts
\InitialRandomPassword

Der Konfigurationsparameter legt fest, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem\LDAP\Accounts\
InitialRandomPassword\SendTo

Der Konfigurationsparameter enthält die Person, die eine E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Person oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird an die im Konfigurationsparameter "TargetSystem\LDAP\DefaultAddress" hinterlegte Adresse versandt.

TargetSystem\LDAP\Accounts\
InitialRandomPassword\SendTo\
MailTemplateAccountName

Der Konfigurationsparameter enthält den Namen der Mailvorlage, welche versendet wird, um Benutzer mit den initialen Anmeldeinformationen (Name des Benutzerkontos) zu versorgen. Es wird die Mailvorlage "Person - Erstellung neues Benutzerkonto" verwendet.

TargetSystem\LDAP\Accounts\
InitialRandomPassword\SendTo\
MailTemplatePassword

Der Konfigurationsparameter enthält den Namen der Mailvorlage, welche versendet wird, um Benutzer mit den initialen Anmeldeinformationen (initiales Kennwort) zu versorgen. Es wird die Mailvorlage "Person - Initiales Kennwort für neues Benutzerkonto" verwendet.

TargetSystem\LDAP\Accounts\
MailTemplateDefaultValues

Der Konfigurationsparameter enthält die Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage "Person - Erstellung neues Benutzerkonto mit Standardwerten" verwendet.

TargetSystem\LDAP\Accounts\
PrivilegedAccount

Der Konfigurationsparameter erlaubt die Konfiguration der Einstellungen für privilegierte LDAP Benutzerkonten.

TargetSystem\LDAP\Accounts\
PrivilegedAccount\UserID_Postfix

Der Konfigurationsparameter enthält den Postfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten.

TargetSystem\LDAP\Accounts\
PrivilegedAccount\UserID_Prefix

Der Konfigurationsparameter enthält den Präfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten.

TargetSystem\LDAP\Authentication

Der Konfigurationsparameter erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

TargetSystem\LDAP\Authentication\Authentication

Der Konfigurationsparameter legt den Authentifizierungsmechanismus fest. Gültige Werte sind "Secure", "Encryption", "SecureSocketsLayer", "ReadonlyServer", "Anonymous", "FastBind", "Signing", "Sealing", "Delegation" und "ServerBind". Die Werte können mit Komma (,) kombiniert werden. Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Standard ist ServerBind.

TargetSystem\LDAP\Authentication\Port

Port des LDAP Servers. Standard ist Port 389.

TargetSystem\LDAP\Authentication\RootDN

Der Konfigurationsparameter enthält den Distinguished Name der Root-Domäne.

Syntax:

dc=MyDomain

TargetSystem\LDAP\Authentication\Server

Der Konfigurationsparameter enthält den Namen des LDAP Servers.

TargetSystem\LDAP\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im ZielsystemClosed.

TargetSystem\LDAP\
HardwareInGroupFromOrg

Der Konfigurationsparameters legt fest. ob Computer aufgrund von Gruppenzuordnung zu Rollen in Gruppen aufgenommen werden.

TargetSystem\LDAP\
MaxFullsyncDuration

Der Konfigurationsparameter enthält die maximale Laufzeit in Minuten für eine SynchronisationClosed. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt.

TargetSystem\LDAP\
PersonAutoDefault

Der Konfigurationsparameter legt den Modus für die automatische Personenzuordnung für Benutzerkonten fest, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem\LDAP\
PersonAutoDisabledAccounts

Der Konfigurationsparameter legt fest, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem\LDAP\
PersonAutoFullSync

Der Konfigurationsparameter legt den Modus für die automatische Personenzuordnung für Benutzerkonten fest, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating