Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer Microsoft Exchange-Umgebung

Verwalten einer Microsoft Exchange-Umgebung Einrichten der Synchronisation mit einer Microsoft Exchange-Umgebung Basisdaten für die Verwaltung einer Microsoft Exchange-Umgebung Microsoft Exchange Struktur Postfächer E-Mail Benutzer und E-Mail Kontakte E-Mail aktivierte Verteilergruppen Dynamische Verteilergruppen E-Mail aktivierte öffentliche Ordner Erweiterungen zur Unterstützung von Exchange Hybrid-Umgebungen Fehlerbehebung Anhang: Konfigurationsparameter für die Verwaltung einer Microsoft Exchange-Umgebung Anhang: Standardprojektvorlagen für Microsoft Exchange

Erstellen der Automatisierungsgrade

Für eine Kontendefinition legen Sie Automatisierungsgrade für die Behandlung der Benutzerkonten fest. Der Automatisierungsgrad eines Benutzerkontos entscheidet über den Umfang der vererbten Eigenschaften der Person an das Benutzerkonto. So kann beispielsweise eine Person mehrere Benutzerkonten in einem ZielsystemClosed besitzen:

  • Standardbenutzerkonto, welches alle Eigenschaften über die Person erbt
  • Administratives Benutzerkonto, das zwar mit der Person verbunden ist, aber keine Eigenschaften von der Person erben soll

Der One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade:

  • Unmanaged

    Benutzerkonten mit dem Automatisierungsgrad "Unmanaged" erhalten eine Verbindung zur Person, erben jedoch keine weiteren Eigenschaften. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Person werden initial einige der Personeneigenschaften übernommen. Werden die Personeneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen nicht an das Benutzerkonto weitergereicht.

  • Full managed

    Benutzerkonten mit dem Automatisierungsgrad "Full managed" erben definierte Eigenschaften der zugeordneten Person.

HINWEIS: Die Automatisierungsgrade "Full managed" und "Unmanaged" werden in Bildungsregeln ausgewertet. Die mitgelieferten Bildungsregeln können Sie im Designer unternehmensspezifisch anpassen.

Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren. Die Bildungsregeln müssen Sie um die Vorgehensweise für die zusätzlichen Automatisierungsgrade erweitern.

Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll. Ausführliche Informationen zu Automatisierungsgraden finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

  • Um die Berechtigungen zu entziehen, wenn eine Person deaktiviert, gelöscht oder als sicherheitsgefährdend eingestuft wird, können die Benutzerkonten der Person gesperrt werden. Wird die Person zu einem späteren Zeitpunkt wieder aktiviert, werden ihre Benutzerkonten ebenfalls wieder freigeschaltet.
  • Zusätzlich kann die Vererbung der Gruppenmitgliedschaften definiert werden. Die Unterbrechung der Vererbung kann beispielsweise gewünscht sein, wenn die Benutzerkonten einer Person gesperrt sind und somit auch nicht in Gruppen Mitglied sein dürfen. Während dieser Zeit sollen keine Vererbungsvorgänge für diese Personen berechnet werden. Bestehende Gruppenmitgliedschaften werden dann gelöscht!

Um Automatisierungsgrade an eine Kontendefinition zuzuweisen

  1. Wählen Sie die Kategorie Active Directory | Basisdaten zur Konfiguration | Kontendefinitionen | Kontendefinitionen.

  2. Wählen Sie in der Ergebnisliste eine Kontendefinition.
  3. Wählen Sie die Aufgabe Automatisierungsgrade zuweisen.
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Automatisierungsgrade zu.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Automatisierungsgrade.

  5. Speichern Sie die Änderungen.

WICHTIG: Der Automatisierungsgrad "Unmanaged" wird beim Erstellen einer Kontendefinition automatisch zugewiesen und kann nicht entfernt werden.

Um einen Automatisierungsgrad zu bearbeiten

  1. Wählen Sie die Kategorie Active Directory | Basisdaten zur Konfiguration | Kontendefinitionen | Automatisierungsgrade.

  2. Wählen Sie in der Ergebnisliste einen Automatisierungsgrad aus. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    -ODER-

    Klicken Sie in der Ergebnisliste .

  3. Bearbeiten Sie die Stammdaten des Automatisierungsgrades.
  4. Speichern Sie die Änderungen.
Verwandte Themen

Stammdaten eines Automatisierungsgrades

Für einen Automatisierungsgrad erfassen Sie die folgenden Stammdaten.

Tabelle 12: Stammdaten eines Automatisierungsgrades
Eigenschaft Beschreibung

Automatisierungsgrad

Bezeichnung des Automatisierungsgrades.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

IT Betriebsdaten überschreibend

Angabe, ob Daten an Benutzerkonten, die sich aus den IT Betriebsdaten bilden, automatisch aktualisiert werden. Zulässige Werte sind:

Niemals Die Daten werden nicht aktualisiert.
Immer Die Daten werden immer aktualisiert
Nur initial Die Daten werden nur initial ermittelt.

Gruppen bei zeitweiliger Deaktivierung beibehalten

Angabe, ob die Benutzerkonten zeitweilig deaktivierter Personen ihre Gruppenmitgliedschaften behalten sollen.

Benutzerkonten bei zeitweiliger Deaktivierung sperren

Angabe, ob die Benutzerkonten zeitweilig deaktivierter Personen gesperrt werden sollen.

Gruppen bei dauerhafter Deaktivierung beibehalten

Angabe, ob die Benutzerkonten dauerhaft deaktivierter Personen ihre Gruppenmitgliedschaften behalten sollen.

Benutzerkonten bei dauerhafter Deaktivierung sperren

Angabe, ob die Benutzerkonten dauerhaft deaktivierter Personen gesperrt werden sollen.

Gruppen bei verzögertem Löschen beibehalten

Angabe, ob die Benutzerkonten zum Löschen markierter Personen ihre Gruppenmitgliedschaften behalten sollen.

Benutzerkonten bei verzögertem Löschen sperren

Angabe, ob die Benutzerkonten zum Löschen markierter Personen gesperrt werden sollen.

Gruppen bei Sicherheitsgefährdung beibehalten

Angabe, ob die Benutzerkonten von sicherheitsgefährdenden Personen ihre Gruppenmitgliedschaften behalten sollen.

Benutzerkonten bei Sicherheitsgefährdung sperren

Angabe, ob die Benutzerkonten von sicherheitsgefährdenden Personen gesperrt werden sollen.

Gruppen bei deaktiviertem Benutzerkonto beibehalten

Angabe, ob deaktivierte Benutzerkonten ihre Gruppenmitgliedschaften behalten sollen.

Erstellen einer Abbildungsvorschrift für IT Betriebsdaten

Eine Kontendefinition legt fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über die primären Rollen einer Person ermittelt werden können.

Die folgenden IT Betriebsdaten werden in der Standardkonfiguration des One Identity Manager für das automatische Erzeugen und Ändern von Benutzerkonten für eine Person im ZielsystemClosed verwendet.

  • Microsoft Exchange Postfachdatenbank

Um eine Abbildungsvorschrift für die IT Betriebsdaten zu erstellen

  1. Wählen Sie die Kategorie Active Directory | Basisdaten zur Konfiguration | Kontendefinitionen | Kontendefinitionen.

  2. Wählen Sie in der Ergebnisliste eine Kontendefinition.

  3. Wählen Sie die Aufgabe IT Betriebsdaten MappingClosed bearbeiten und erfassen Sie folgende Daten.

    Tabelle 13: Abbildungsvorschrift für IT Betriebsdaten

    Eigenschaft

    Beschreibung

    Spalte

    Eigenschaft des Benutzerkontos, für die der Wert gesetzt wird.

    Quelle

    Angabe, welche Rolle verwendet wird, um die Eigenschaften für das Benutzerkonto zu ermitteln. Zur Auswahl stehen:

    • Primäre Abteilung

    • Primärer Standort

    • Primäre Kostenstelle

    • Primäre Geschäftsrolle

      HINWEIS: Verwenden Sie die primäre Geschäftsrolle nur, wenn das Geschäftsrollenmodul vorhanden ist.

    • keine Angabe

      Wenn Sie keine Rolle auswählen, müssen Sie einen Standardwert festlegen und die Option Immer Standardwert verwenden setzen.

    Standardwert

    Standardwert der Eigenschaft für das Benutzerkonto einer Person, wenn der Wert nicht dynamisch aus den IT Betriebsdaten einer Rolle ermittelt werden kann.

    Immer Standardwert verwenden

    Angabe, ob die Eigenschaft des Benutzerkontos immer mit dem Standardwert besetzt wird. Es erfolgt keine dynamische Ermittlung der IT Betriebsdaten aus einer Rolle.

    Benachrichtigung bei Verwendung des Standards

    Angabe, ob bei Verwendung des Standardwertes eine E-Mail Benachrichtigung an ein definiertes Postfach versendet wird. Es wird die Mailvorlage "Person - Erstellung neues Benutzerkontos mit Standardwerten" verwendet. Um die Mailvorlage zu ändern, passen Sie den Konfigurationsparameter "TargetSystem\ADS\Exchange2000\Accounts\MailTemplateDefaultValues" an.

  4. Speichern Sie die Änderungen.

Verwandte Themen

Erfassen der IT Betriebsdaten

Um für eine Person Benutzerkonten mit dem Automatisierungsgrad "Full managed" zu erzeugen, müssen die benötigten IT Betriebsdaten ermittelt werden. Welche IT Betriebsdaten für welches ZielsystemClosed konkret verwendet werden sollen, wird an den Abteilungen, Kostenstellen, Standorten und Geschäftsrollen definiert. Einer Person wird eine primäre Abteilung, eine primäre Kostenstelle, ein primärer Standort oder eine primäre Geschäftsrolle zugeordnet. Abhängig von dieser Zuordnung werden die gültigen IT Betriebsdaten ermittelt und für die Erstellung des Benutzerkontos verwendet. Können über die primären Rollen keine gültigen IT Betriebsdaten ermittelt werden, werden die Standardwerte verwendet.

Wenn in einem Zielsystem mehrere Kontendefinitionen für die Abbildung der Benutzerkonten verwendet werden, können Sie die IT Betriebsdaten auch direkt für eine konkrete Kontendefinition festlegen.

Beispiel:

In der Regel erhält jede Person der Abteilung A ein Standardbenutzerkonto in der Domäne A. Zusätzlich erhalten einige Personen der Abteilung A administrative Benutzerkonten in der Domäne A.

Erstellen Sie eine Kontendefinition A für die Standardbenutzerkonten der Domäne A und eine Kontendefinition B für die administrativen Benutzerkonten der Domäne A. In der Abbildungsvorschrift der IT Betriebsdaten für die Kontendefinitionen A und B legen Sie die Eigenschaft "Abteilung" zur Ermittlung der gültigen IT Betriebsdaten fest.

Für die Abteilung A legen Sie die wirksamen IT Betriebsdaten für die Domäne A fest. Diese IT Betriebsdaten werden für die Standardbenutzerkonten verwendet. Zusätzlich legen Sie für die Abteilung A die wirksamen IT Betriebsdaten für die Kontendefinition B fest. Diese IT Betriebsdaten werden für administrative Benutzerkonten verwendet.

Um IT Betriebsdaten festzulegen

  1. Wählen Sie in der Kategorie Organisationen bzw. Geschäftsrollen die Rolle.

  2. Wählen Sie die Aufgabe IT Betriebsdaten bearbeiten und erfassen Sie folgende Daten.

    Tabelle 14: IT Betriebsdaten
    Eigenschaft Beschreibung
    Organisation/Geschäftsrolle Abteilung, Kostenstelle, Standort oder Geschäftsrolle, für die die IT Betriebsdaten gelten sollen.
    Wirksam für Anwendungsbereich der IT Betriebsdaten. Die IT Betriebsdaten können für ein Zielsystem oder für eine definierte Kontendefinition verwendet werden.

    Um den Anwendungsbereich festzulegen

    1. Klicken Sie auf die Schaltfläche neben dem Eingabefeld.
    2. Wählen Sie unter Tabelle die Tabelle, die das Zielsystem abbildet oder für eine Kontendefinition die Tabelle TSBAccountDef.
    3. Wählen Sie unter Wirksam für das konkrete Zielsystem oder die konkrete Kontendefinition.
    4. Klicken Sie OK.
    Spalte Eigenschaft des Benutzerkontos, für die der Wert gesetzt wird.

    In der Auswahlliste werden die Spalten angeboten, die in ihrer Bildungsregel das Skript TSB_ITDataFromOrg verwenden. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

    Wert Konkreter Wert, welcher der Eigenschaft des Benutzerkontos zugewiesen werden soll.
  3. Speichern Sie die Änderungen.
Verwandte Themen
Related Documents