Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer SharePoint-Umgebung

Verwalten einer SharePoint Umgebung Einrichten der Synchronisation mit einer SharePoint Farm Basisdaten für die Verwaltung einer SharePoint-Umgebung SharePoint Farmen SharePoint Webanwendungen SharePoint Websitesammlungen und Websites SharePoint Benutzerkonten SharePoint Rollen und Gruppen
SharePoint Gruppen SharePoint Rollen und Berechtigungsstufen
Berechtigungen für SharePoint Webanwendungen Berichte über SharePoint Websitesammlungen Anhang: Konfigurationsparameter für die Verwaltung einer SharePoint-Umgebung Anhang: Standardprojektvorlage für SharePoint

Zusätzliche Aufgaben zur Verwaltung von Websites

Nachdem Sie die Stammdaten erfasst haben, können Sie verschiedene Aufgaben anwenden. Über die Aufgabenansicht stehen verschiedene Formulare zur Verfügung, mit denen Sie folgende Aufgaben ausführen können.

Auf dem Überblicksformular werden alle für die Website zugelassenen Rollen und Berechtigungsstufen dargestellt. Über die Aufgabe URL öffnen können Sie die Website im Standardbrowser öffnen. Voraussetzung dafür ist, dass der in der URL benannte Server per DNS aufgelöst werden kann.

Um einen Überblick über eine Website zu erhalten

  1. Wählen Sie die Kategorie SharePoint | Websites.
  2. Wählen Sie in der Ergebnisliste die Website.
  3. Wählen Sie die Aufgabe Überblick über die SharePoint Website.
Verwandte Themen

Vererbung von Berechtigungen an untergeordnete Websites

Vererbung von Berechtigungen an untergeordnete Websites

SharePoint Rollen werden auf der Ebene von Websites definiert. Für die Root-Site einer Websitesammlung sind immer Rollen definiert. Untergeordnete Websites können diese Rollendefinitionen erben. Ebenso werden Rollen auf der Root-Site einer Websitesammlung an Gruppen oder Benutzerkonten zugewiesen. Auch diese Zuweisungen können untergeordnete Websites erben. Über die Option Eigene Rollendefinitionen ist festgelegt, ob eine Website die Rollen von der übergeordneten Website erbt. Über die Optionen Eigenen Rollenzuweisungen ist festgelegt, ob Benutzerkonten und Gruppen auf eine Website explizit berechtigt werden können oder ob die Rollenzuweisungen von der übergeordneten Website geerbt werden.

Detaillierte Informationen zum Thema
Verwandte Themen

Einrichten von SharePoint Websitesammlungen und Websites

Einrichten von SharePoint Websitesammlungen und Websites

Websitesammlungen und Websites werden in der Standardinstallation des One Identity Manager durch die SynchronisationClosed in die One Identity Manager-Datenbank lediglich eingelesen. Über unternehmensspezifische Anpassungen ist es möglich, Websitesammlungen und Websites im One Identity Manager neu anzulegen und in die SharePoint-Umgebung zu publizieren. Zu diesem Zweck werden die Spalten UID_SPSPrefix und UID_SPSWebTemplate an der Tabelle SPSWeb sowie vordefinierte Skripte und Prozesse bereitgestellt.

Hinweis: Folgende Skripte und Prozesse können Sie nutzen, um Websitesammlungen und Websites über den IT Shop bestellbar zu machen. Passen Sie diese Skripte und Prozesse in jedem Fall unternehmensspezifisch an!
Skript/Prozess Beschreibung
Skript VI_CreateSPSSite Erstellt eine neue Websitesammlung und die zugehörige Root-Site in der One Identity Manager-Datenbank. Erzeugt ein Benutzerkonto, das als Administrator der Websitesammlung bzw. Autor der Root-Site eingetragen wird.
Skript VI_CreateSPSWeb Erstellt eine neue Website innerhalb einer Websitesammlung in der One Identity Manager-Datenbank.
Prozess SP0_SPWeb_(De-)Provision Erstellt eine neue Website innerhalb einer Websitesammlung. Der Prozess wird durch das Ereignis PROVISION ausgelöst, wenn die Website in der One Identity Manager-Datenbank nicht als Root-Site gekennzeichnet ist.
Prozess SP0_SPSite_(De-)Provision Erstellt eine neue Websitesammlung innerhalb einer Webanwendung und die zugehörige Root-Site. Der Prozess wird durch das Ereignis PROVISION ausgelöst.

Folgende Schritte sind darüber hinaus erforderlich:

  • Definieren Sie ein bestellbares Produkt, über das die Websitesammlung/Website im IT Shop bestellt wird.
  • Definieren Sie Produkteigenschaften, die auf die Skriptparameter gemappt werden (beispielsweise Webanwendung, Präfix oder Webvorlage). Diese Produkteigenschaften müssen bei der Bestellung der Websitesammlung/Website erfasst werden.
  • Erstellen Sie einen Prozess für die Tabelle PersonWantsOrg, der ausgelöst wird, wenn die Bestellung genehmigt wurde (Ereignis OrderGranted). Der Prozess ruft das passende Skript auf und besetzt dessen Parameterwerte mit den definierten Produkteigenschaften. Dadurch wird die Websitesammlung/Website in der One Identity Manager-Datenbank angelegt.

SharePoint Benutzerkonten

SharePoint Benutzerkonten

SharePoint Benutzerkonten halten die zur Authentifizierung eines Benutzers notwendigen Informationen vor, wie beispielsweise den AuthentifizierungsmodusClosed und den Anmeldenamen. Des Weiteren sind an den Benutzerkonten die Berechtigungen der Benutzer innerhalb einer Websitesammlung festgelegt.

Jedes SharePoint Benutzerkonto repräsentiert ein Objekt aus einem Authentifizierungssystem, dem die SharePoint-Installation vertraut. Wenn dieses Authentifizierungssystem als ZielsystemClosed im One Identity Manager verwaltet wird, kann das zur Authentifizierung genutzte Objekt am SharePoint Benutzerkonto als AuthentifizierungsobjektClosed hinterlegt werden. Damit können die Berechtigungen der SharePoint Benutzerkonten auf die im One Identity Manager verwalteten Personen abgebildet werden. Der One Identity Manager schafft damit die Möglichkeit, einen Überblick über alle SharePoint Zugriffsberechtigungen einer Person zu erhalten. SharePoint Berechtigungen können attestiert und Complianceprüfungen durchgeführt werden. Bei entsprechender Konfiguration können Mitarbeiter ihre benötigten SharePoint Berechtigungen über ihre Mitgliedschaften in hierarchischen Rolle erhalten oder über das Web Portal bestellen.

Beispiel:

Für eine Websitesammlung soll ein Gastzugang eingerichtet werden, der nur zum Lesen berechtigt. Dafür wird ein SharePoint Benutzerkonto angelegt. Diesem Benutzerkonto wird als Authentifizierungsobjekt die Active Directory Gruppe "Guests" zugeordnet. Clara Harris besitzt ein Active Directory Benutzerkonto, das Mitglied dieser Gruppe ist. Damit kann sie sich an der Websitesammlung anmelden und erhält alle Berechtigungen des SharePoint Benutzerkontos.

Jan Bloggs soll ebenfalls einen Gastzugang für die Websitesammlung erhalten. Er besitzt ein Active Directory Benutzerkonto in der selben Domäne. Im Web Portal bestellt er die Mitgliedschaft in der Active Directory Gruppe "Guests". Sobald die Bestellung genehmigt und zugewiesen ist, kann er sich an der Websitesammlung anmelden.

Standardmäßig können im One Identity Manager folgende Objekte als Authentifizierungsobjekte zugeordnet werden:

  • Active Directory Gruppen (ADSGroup)
  • Active Directory Benutzerkonten (ADSAccount)
  • LDAP Gruppen (LDAPGroup)
  • LDAP Benutzerkonten (LDAPAccount)

Bei der SynchronisationClosed versucht der One Identity Manager anhand des Anmeldenamens das passende Authentifizierungsobjekt zuzuordnen.

Abhängig vom referenzierten Authentifizierungsobjekt werden SharePoint Zugriffsberechtigungen im One Identity Manager auf unterschiedliche Weise bereitgestellt.

Fall 1: Das Authentifizierungsobjekt ist eine Gruppe. Das Authentifizierungssystem wird im One Identity Manager verwaltet. (Standardfall)
  • Das Benutzerkonto repräsentiert eine Active Directory oder LDAP Gruppe. Diese Gruppe kann im One Identity Manager als Authentifizierungsobjekt zugeordnet werden.
  • Dem Benutzerkonto kann keine Person zugeordnet werden. Damit kann das Benutzerkonto nur über Direktzuweisung Mitglied in SharePoint Rollen und Gruppen werden.
  • Damit sich eine Person am SharePoint-System anmelden kann, benötigt sie ein Active Directory oder LDAP Benutzerkonto. Dieses Benutzerkonto muss Mitglied in der als Authentifizierungsobjekt genutzten Active Directory oder LDAP Gruppe sein.
  • Ein neues SharePoint Benutzerkonto kann manuell erstellt werden.
  • Das Benutzerkonto kann nicht über eine Kontendefinition verwaltet werden.
Fall 2: Das Authentifizierungsobjekt ist ein Benutzerkonto. Das Authentifizierungssystem wird im One Identity Manager verwaltet.
  • Das Benutzerkonto repräsentiert ein Active Directory oder LDAP Benutzerkonto. Dieses Benutzerkonto kann im One Identity Manager als Authentifizierungsobjekt zugeordnet werden.
  • Dem SharePoint Benutzerkonto kann eine Person zugeordnet werden. Damit kann das Benutzerkonto über Vererbung und über Direktzuweisung Mitglied in SharePoint Rollen und Gruppen werden.

    Wenn ein Authentifizierungsobjekt zugeordnet ist, wird die verbundene Person über das Authentifizierungsobjekt ermittelt.

    Wenn kein Authentifizierungsobjekt zugeordnet ist, kann die Person automatisch oder manuell zugeordnet werden. Die automatische Personenzuordnung ist abhängig von den Konfigurationsparametern "TargetSystem\SharePoint\PersonAutoFullsync" und "TargetSystem\SharePoint\PersonAutoDefault".

  • Ein neues SharePoint Benutzerkonto kann manuell oder über eine Kontendefinition erstellt werden. Das Active Directory oder LDAP Benutzerkonto, das als Authentifizierungsobjekt genutzt wird, muss zu einer Domäne gehören dem das referenzierte Authentifizierungssystem vertraut.
  • Das Benutzerkonto kann über eine Kontendefinition verwaltet werden.
Fall 3: Das Authentifizierungsobjekt ist ein Benutzerkonto. Das Authentifizierungssystem wird nicht im One Identity Manager verwaltet.
  • Dem Benutzerkonto kann kein Authentifizierungsobjekt zugeordnet werden.
  • Dem Benutzerkonto kann eine Person manuell oder automatisch zugeordnet werden. Damit kann das Benutzerkonto über Vererbung und über Direktzuweisung Mitglied in SharePoint Rollen und Gruppen werden. Die automatische Personenzuordnung ist abhängig von den Konfigurationsparametern "TargetSystem\SharePoint\PersonAutoFullsync" und "TargetSystem\SharePoint\PersonAutoDefault".
  • Ein neues SharePoint Benutzerkonto kann manuell oder über eine Kontendefinition erstellt werden. Wenn eine Kontendefinition verwendet wird, müssen die Bildungsregeln für die Spalten SPSUser.LoginName und SPSUSer.DisplayName kundenspezifisch angepasst werden.
  • Das Benutzerkonto kann über eine Kontendefinition verwaltet werden.

Die Grundlagen zur Verwaltung von Personen und Benutzerkonten sind im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul beschrieben.

Related Documents