Für eine Kontendefinition legen Sie Automatisierungsgrade für die Behandlung der Benutzerkonten fest. Der Automatisierungsgrad eines Benutzerkontos entscheidet über den Umfang der vererbten Eigenschaften der Person an das Benutzerkonto. So kann beispielsweise eine Person mehrere Benutzerkonten in einem ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“ besitzen:
Der One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade:
Benutzerkonten mit dem Automatisierungsgrad "Unmanaged" erhalten eine Verbindung zur Person, erben jedoch keine weiteren Eigenschaften. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Person werden initial einige der Personeneigenschaften übernommen. Werden die Personeneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen nicht an das Benutzerkonto weitergereicht.
Benutzerkonten mit dem Automatisierungsgrad "Full managed" erben definierte Eigenschaften der zugeordneten Person.
|
HINWEIS: Die Automatisierungsgrade "Full managed" und "Unmanaged" werden in Bildungsregeln ausgewertet. Die mitgelieferten Bildungsregeln können Sie im Designer unternehmensspezifisch anpassen. Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren. Die Bildungsregeln müssen Sie um die Vorgehensweise für die zusätzlichen Automatisierungsgrade erweitern. |
Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.
Um Automatisierungsgrade an eine Kontendefinition zuzuweisen
Wählen Sie die Kategorie Active Directory | Basisdaten zur Konfiguration | Kontendefinitionen | Kontendefinitionen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Automatisierungsgrade.
|
WICHTIG: Der Automatisierungsgrad "Unmanaged" wird beim Erstellen einer Kontendefinition automatisch zugewiesen und kann nicht entfernt werden. |
Um einen Automatisierungsgrad zu bearbeiten
Wählen Sie die Kategorie Active Directory | Basisdaten zur Konfiguration | Kontendefinitionen | Automatisierungsgrade.
-ODER-
Klicken Sie in der Ergebnisliste .
Für einen Automatisierungsgrad erfassen Sie die folgenden Stammdaten.
Eigenschaft | Beschreibung | ||||||
---|---|---|---|---|---|---|---|
Automatisierungsgrad |
Bezeichnung des Automatisierungsgrades. | ||||||
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. | ||||||
IT Betriebsdaten überschreibend |
Angabe, ob Daten an Benutzerkonten, die sich aus den IT Betriebsdaten bilden, automatisch aktualisiert werden. Zulässige Werte sind:
| ||||||
Gruppen bei zeitweiliger Deaktivierung beibehalten |
Angabe, ob die Benutzerkonten zeitweilig deaktivierter Personen ihre Gruppenmitgliedschaften behalten sollen. | ||||||
Benutzerkonten bei zeitweiliger Deaktivierung sperren |
Angabe, ob die Benutzerkonten zeitweilig deaktivierter Personen gesperrt werden sollen. | ||||||
Gruppen bei dauerhafter Deaktivierung beibehalten |
Angabe, ob die Benutzerkonten dauerhaft deaktivierter Personen ihre Gruppenmitgliedschaften behalten sollen. | ||||||
Benutzerkonten bei dauerhafter Deaktivierung sperren |
Angabe, ob die Benutzerkonten dauerhaft deaktivierter Personen gesperrt werden sollen. | ||||||
Gruppen bei verzögertem Löschen beibehalten |
Angabe, ob die Benutzerkonten zum Löschen markierter Personen ihre Gruppenmitgliedschaften behalten sollen. | ||||||
Benutzerkonten bei verzögertem Löschen sperren |
Angabe, ob die Benutzerkonten zum Löschen markierter Personen gesperrt werden sollen. | ||||||
Gruppen bei Sicherheitsgefährdung beibehalten |
Angabe, ob die Benutzerkonten von sicherheitsgefährdenden Personen ihre Gruppenmitgliedschaften behalten sollen. | ||||||
Benutzerkonten bei Sicherheitsgefährdung sperren |
Angabe, ob die Benutzerkonten von sicherheitsgefährdenden Personen gesperrt werden sollen. | ||||||
Gruppen bei deaktiviertem Benutzerkonto beibehalten |
Angabe, ob deaktivierte Benutzerkonten ihre Gruppenmitgliedschaften behalten sollen. |
Eine Kontendefinition legt fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über die primären Rollen einer Person ermittelt werden können.
Die folgenden IT Betriebsdaten werden in der Standardkonfiguration des One Identity Manager für das automatische Erzeugen und Ändern von Benutzerkonten für eine Person im ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“ verwendet.
Microsoft Exchange Postfachdatenbank
Um eine Abbildungsvorschrift für die IT Betriebsdaten zu erstellen
Wählen Sie die Kategorie Active Directory | Basisdaten zur Konfiguration | Kontendefinitionen | Kontendefinitionen.
Wählen Sie in der Ergebnisliste eine Kontendefinition.
Wählen Sie die Aufgabe IT Betriebsdaten MappingListe von Objekt-Matching- und Property-Mapping-Regeln, nach denen die Schemaeigenschaften zweier verbundener Systeme aufeinander abgebildet werden. bearbeiten und erfassen Sie folgende Daten.
Eigenschaft |
Beschreibung | ||
---|---|---|---|
Spalte |
Eigenschaft des Benutzerkontos, für die der Wert gesetzt wird. | ||
Quelle |
Angabe, welche Rolle verwendet wird, um die Eigenschaften für das Benutzerkonto zu ermitteln. Zur Auswahl stehen:
| ||
Standardwert |
Standardwert der Eigenschaft für das Benutzerkonto einer Person, wenn der Wert nicht dynamisch aus den IT Betriebsdaten einer Rolle ermittelt werden kann. | ||
Immer Standardwert verwenden |
Angabe, ob die Eigenschaft des Benutzerkontos immer mit dem Standardwert besetzt wird. Es erfolgt keine dynamische Ermittlung der IT Betriebsdaten aus einer Rolle. | ||
Benachrichtigung bei Verwendung des Standards |
Angabe, ob bei Verwendung des Standardwertes eine E-Mail Benachrichtigung an ein definiertes Postfach versendet wird. Es wird die Mailvorlage "Person - Erstellung neues Benutzerkontos mit Standardwerten" verwendet. Um die Mailvorlage zu ändern, passen Sie den Konfigurationsparameter |
Speichern Sie die Änderungen.
Um für eine Person Benutzerkonten mit dem Automatisierungsgrad "Full managed" zu erzeugen, müssen die benötigten IT Betriebsdaten ermittelt werden. Welche IT Betriebsdaten für welches ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“ konkret verwendet werden sollen, wird an den Abteilungen, Kostenstellen, Standorten und Geschäftsrollen definiert. Einer Person wird eine primäre Abteilung, eine primäre Kostenstelle, ein primärer Standort oder eine primäre Geschäftsrolle zugeordnet. Abhängig von dieser Zuordnung werden die gültigen IT Betriebsdaten ermittelt und für die Erstellung des Benutzerkontos verwendet. Können über die primären Rollen keine gültigen IT Betriebsdaten ermittelt werden, werden die Standardwerte verwendet.
Wenn in einem Zielsystem mehrere Kontendefinitionen für die Abbildung der Benutzerkonten verwendet werden, können Sie die IT Betriebsdaten auch direkt für eine konkrete Kontendefinition festlegen.
Beispiel:
In der Regel erhält jede Person der Abteilung A ein Standardbenutzerkonto
Erstellen Sie eine Kontendefinition A für die Standardbenutzerkonten
Für die Abteilung A legen Sie die wirksamen IT Betriebsdaten für
Um IT Betriebsdaten festzulegen
Wählen Sie die Aufgabe IT Betriebsdaten bearbeiten und erfassen Sie folgende Daten.
Eigenschaft | Beschreibung |
---|---|
Organisation/Geschäftsrolle | Abteilung, Kostenstelle, Standort oder Geschäftsrolle, für die die IT Betriebsdaten gelten sollen. |
Wirksam für | Anwendungsbereich der IT Betriebsdaten. Die IT Betriebsdaten können für ein Zielsystem oder für eine definierte Kontendefinition verwendet werden.
Um den Anwendungsbereich festzulegen
|
Spalte | Eigenschaft des Benutzerkontos, für die der Wert gesetzt wird.
In der Auswahlliste werden die Spalten angeboten, die in ihrer Bildungsregel das Skript TSB_ITDataFromOrg verwenden. |
Wert | Konkreter Wert, welcher der Eigenschaft des Benutzerkontos zugewiesen werden soll. |
© 2023 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy