Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer SharePoint-Umgebung

Verwalten einer SharePoint Umgebung Einrichten der Synchronisation mit einer SharePoint Farm Basisdaten für die Verwaltung einer SharePoint-Umgebung SharePoint Farmen SharePoint Webanwendungen SharePoint Websitesammlungen und Websites SharePoint Benutzerkonten SharePoint Rollen und Gruppen
SharePoint Gruppen SharePoint Rollen und Berechtigungsstufen
Berechtigungen für SharePoint Webanwendungen Berichte über SharePoint Websitesammlungen Anhang: Konfigurationsparameter für die Verwaltung einer SharePoint-Umgebung Anhang: Standardprojektvorlage für SharePoint

Verwalten einer SharePoint Umgebung

Verwalten einer SharePoint Umgebung

Im One Identity Manager können die Komponenten und Zugriffsrechte von SharePoint 2010 und SharePoint 2013 Umgebungen abgebildet werden. Ziel dieser Abbildung ist es, den Mitarbeitern eines Unternehmens Zugriffsrechte auf die Websites einer SharePoint-Umgebung zu gewähren. Für diese Abbildung werden Informationen über folgende Komponenten der SharePoint Umgebung in die One Identity Manager-Datenbank eingelesen.

  • die Farm als oberste Ebene der logischen Architektur der SharePoint-Umgebung

    Die SharePoint Farm wird als BasisobjektClosed für die SynchronisationClosed in der One Identity Manager-Datenbank eingerichtet.

  • alle innerhalb der Farm eingerichteten Webanwendungen mit ihren Benutzerrichtlinien und zulässigen Berechtigungen
  • alle Websitesammlungen dieser Webanwendungen mit ihren Benutzerkonten und Gruppen
  • alle Websites, die innerhalb der Websitesammlungen in einer hierarchischen Struktur angelegt sind (jedoch nicht deren Inhalt)
  • alle Berechtigungsstufen und SharePoint Rollen, die die Berechtigungen auf die einzelnen Websites definieren

SharePoint Rollen, Gruppen und Benutzerkonten werden im Kontext der SharePoint-Komponenten abgebildet, für die sie eingerichtet sind. Über diese Objekte werden im One Identity Manager den SharePoint Benutzern die Zugriffsrechte auf die verschiedenen Websites zur Verfügung gestellt. Dafür können Sie die unterschiedlichen Mechanismen des One Identity Managers für die Verbindung der Personen mit ihren SharePoint Benutzerkonten nutzen. Es werden folgende Objekte provisioniert:

  • SharePoint Benutzerkonten und ihre Beziehungen zu SharePoint Rollen und Gruppen
  • SharePoint Gruppen und ihre Zuordnungen zu Benutzerkonten und Rollen
  • SharePoint Rollen und ihre Berechtigungen auf Websites

Für die Anmeldung am SharePoint Server unterstützt der One Identity Manager sowohl die klassische Windows-Authentifizierung als auch die forderungsbasierte Authentifizierung. Jedem SharePoint Benutzerkonto, das sich über die klassische Windows-Authentifizierung anmelden kann, ist im One Identity Manager ein Active Directory oder LDAP Benutzerkonto bzw. eine Active Directory oder LDAP Gruppe zugeordnet. Voraussetzung dafür ist, dass die zugehörige Active Directory bzw. LDAP-Umgebung ebenfalls in der One Identity Manager-Datenbank abgebildet werden. Informationen über die in der SharePoint-Umgebung genutzten Authentifizierungssyteme können im One Identity Manager gepflegt werden.

Zu jedem SharePoint Benutzerkonto, das mit einem Active Directory oder LDAP Benutzerkonto verbunden ist, kann zusätzlich eine in der One Identity Manager-Datenbank hinterlegte Person zugeordnet werden. Damit ist es möglich, die Mitgliedschaften von Personen in SharePoint Rollen und Gruppen zu pflegen. Über die Zuordnung von SharePoint Rollen und Gruppen zu den Unternehmensstrukturen können SharePoint Berechtigungen an die Personen vererbt werden. Außerdem ist es möglich, Berechtigungen über den IT Shop zu bestellen. Über Complianceregeln können die einer Person zugewiesenen Berechtigungen überwacht werden.

Das SharePoint Modul basiert auf den SharePoint Foundation 2010 beziehungsweise den SharePoint Foundation 2013 Class Libraries.

Architekturüberblick

Architekturüberblick

Der SharePoint-Konnektor wird für die SynchronisationClosed und ProvisionierungClosed der SharePoint-Umgebung eingesetzt. Der Konnektor kommuniziert direkt mit den SharePoint Servern einer SharePoint Farm.

Abbildung 1: Kommunikationsweg des Konnektors mit der SharePoint-Umgebung

Für die Synchronisation und Provisionierung müssen auf einem beliebigen Server der SharePoint Farm der One Identity Manager Service, der SharePoint Konnektor und der Synchronization EditorClosed installiert sein. Dieser Server wird im Weiteren als SynchronisationsserverClosed bezeichnet. Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Detaillierte Informationen zum Thema

One Identity Manager Benutzer für die Verwaltung einer SharePoint-Umgebung

One Identity Manager Benutzer für die Verwaltung einer SharePoint-Umgebung

In die Verwaltung einer SharePoint-Umgebung mit dem One Identity Manager sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer
Benutzer Aufgaben
Zielsystemadministratoren

Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.
  • Legen die Zielsystemverantwortlichen fest.
  • Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.
  • Legen sich fest, welche Anwendungsrollen für Zielsystemverantwortliche sich widersprechen.
  • Berechtigen weitere Personen als Zielsystemadministratoren.
  • Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme.
Zielsystemverantwortliche

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | SharePoint oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das ZielsystemClosed.
  • Erzeugen, ändern oder löschen die Zielsystemobjekte, wie beispielsweise Benutzerkonten oder Gruppen.
  • Bearbeiten Kennwortrichtlinien für das Zielsystem.
  • Bereiten Systemberechtigungen zur Aufnahme in den IT Shop vor.
  • Konfigurieren im Synchronization EditorClosed die SynchronisationClosed und definieren das MappingClosed für den Abgleich von Zielsystem und One Identity Manager.
  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.
  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.
One Identity Manager Administratoren
  • Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
  • Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
  • Erstellen und konfigurieren bei Bedarf Zeitpläne.
  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.
Administratoren für den IT Shop

Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Systemberechtigungen an IT Shop-Strukturen zu.

Produkteigner für den IT Shop

Die Produkteigner müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Entscheiden über Bestellungen.
  • Bearbeiten die Leistungspositionen und Servicekategorien, für die sie verantwortlich sind.
Administratoren für Organisationen

Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Systemberechtigungen an Abteilungen, Kostenstellen und Standorte zu.
Administratoren für Geschäftsrollen

Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Systemberechtigungen an Geschäftsrollen zu.

Forderungsbasierte Authentifizierung

Forderungsbasierte Authentifizierung

Für die Anmeldung am SharePoint Server unterstützt der One Identity Manager sowohl die forderungsbasierte Authentifizierung als auch die klassische Windows-Authentifizierung. Dafür werden in der Datenbank Informationen über die verwendeten SharePoint Provider und Authentifizierungsmodi hinterlegt. Die vorhandenen SharePoint Provider zur forderungsbasierten Authentifizierung müssen durch die SynchronisationClosed in die Datenbank eingelesen werden. Für jede Webanwendung sind die zugelassenen Provider hinterlegt.

An jedem Benutzerkonto ist hinterlegt, mit welchem AuthentifizierungsmodusClosed sich der Benutzer mit diesem Benutzerkonto anmeldet. Der standardmäßig zugeordnete Authentifizierungsmodus ist abhängig davon, ob die forderungsbasierte Authentifizierung an der zugehörigen Webanwendung zugelassen ist.

Der Authentifizierungsmodus wird benötigt, um Benutzerkonten im One Identity Manager anzulegen. Der Anmeldename von Benutzerkonten für die forderungsbasierte Authentifizierung enthält ein Präfix, das vom genutzten Authentifizierungsmodus abhängig ist. Diese Präfixe müssen an den Authentifizierungsmodi gepflegt werden.

Verwandte Themen
Self Service Tools
Knowledge Base
Notifications & Alerts
Product Support
Software Downloads
Technical Documentation
User Forums
Video Tutorials
RSS Feed
Contact Us
Licensing Assistance
Technical Support
View All
Related Documents