Im One Identity Manager können unterschiedliche Typen von Benutzerkonten wie beispielsweise Standardbenutzerkonten, administrative Benutzerkonten oder Dienstkonten abgebildet werden.
Zur Abbildung der verschiedenen Benutzerkontentypen werden die folgenden Eigenschaften verwendet.
Die Identität beschreibt den Typ des Benutzerkontos.
Identität | Beschreibung | Wert der Spalte "IdentityType" |
---|---|---|
Primäre Identität | Standardbenutzerkonto einer Person. | Primary |
Organisatorische Identität | Sekundäres Benutzerkonto, welches für unterschiedlichen Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen. | Organizational |
Persönliche Administratoridentität | Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird. | Admin |
Zusatzidentität | Benutzerkonto, das beispielsweise zu Trainingszwecken genutzt wird. | Sponsored |
Gruppenidentität | Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird. | Shared |
Dienstidentität | Dienstkonto. | Service |
Mit dieser Option werden Benutzerkonten mit besonderen privilegierten Berechtigungen gekennzeichnet. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Standardbenutzerkonten werden nicht mit dieser Option gekennzeichnet.
In der Regel erhält jede Person ein Standardbenutzerkonto, das die Berechtigungen besitzt, die für die tägliche Arbeit benötigt werden. Die Benutzerkonten haben eine Verbindung zur Person.Objekt, über das sich ein Benutzer bei der Anmeldung an der SharePoint Farm authentifiziert. Beispielsweise eine Active Directory Gruppe oder ein LDAP Benutzerkonto. hergestellt, das dem Benutzerkonto zugeordnet ist. Davon abweichend können Personen auch direkt mit den Benutzerkonten verbunden sein. Solche Benutzerkonten können über Kontendefinitionen verwaltet werden.
Um Standardbenutzerkonten über Kontendefinitionen zu erstellen
Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, beispielsweise ob der Container für ein Benutzerkonto über die Abteilung, die Kostenstelle, den Standort oder die Geschäftsrolle einer Person gebildet wird, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.
Welche IT Betriebsdaten erforderlich sind, ist abhängig vom ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“. Für Standardbenutzerkonten werden folgende Einstellungen empfohlen:
Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.
Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.
Für bestimmte administrative Aufgaben, ist der Einsatz administrativer Benutzerkonten notwendig. Administrative Benutzerkonten werden in der Regel vom Zielsystem vorgegeben und haben feste Bezeichnungen und Anmeldenamen, wie beispielsweise "Administrator".
Administrative Benutzerkonten werden durch die SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem Zielsystem. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. in den One Identity Manager eingelesen. Um administrativen Benutzerkonten einen Verantwortlichen zuzuweisen, weisen Sie dem Benutzerkonto im One Identity Manager eine Person zu.
|
Hinweis: Administrative Benutzerkonten können automatisch als privilegierte Benutzerkonten gekennzeichnet werden. Aktivieren Sie dazu im Designer den Zeitplan "Ausgewählte Benutzerkonten als privilegiert kennzeichnen". |
Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (IsPrivilegedAccount) gekennzeichnet.
|
Hinweis: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ "Union") definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount. |
Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen
Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, beispielsweise ob der Container für ein Benutzerkonto über die Abteilung, die Kostenstelle, den Standort oder die Geschäftsrolle einer Person gebildet wird, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.
Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:
Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.
Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.
|
Hinweis: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einen definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach denen Anmeldenamen gebildet werden. |
Jedes SharePoint Benutzerkonto repräsentiert ein Objekt aus einem Authentifizierungssystem. Dieses Objekt kann eine Gruppe oder ein Benutzer sein. In der Navigationsansicht können die gruppenauthentifizierten und die benutzerauthentifizierten Benutzerkonten separat ausgewählt werden.
Um die Stammdaten eines gruppenauthentifizierten Benutzerkontos zu bearbeiten
- ODER -
Klicken Sie in der Ergebnisliste .
Um die Stammdaten eines benutzerauthentifizierten Benutzerkontos zu bearbeiten
- ODER -
Klicken Sie in der Ergebnisliste .
Um ein benutzerauthentifiziertes Benutzerkonto für eine Person manuell zuzuweisen oder zu erstellen
Konfigurationsparameter | Wirkung bei Aktivierung |
---|---|
QER\CalculateRiskIndex | Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Berechnung des Risikoindex. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.
Ist der Parameter aktiviert, können Werte für den Risikoindex erfasst und berechnet werden. |
Für ein gruppenauthentifiziertes Benutzerkonto erfassen Sie die folgenden Stammdaten.
Eigenschaft | Beschreibung | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Websitesammlung | Websitesammlung, in der das Benutzerkonto genutzt wird. | ||||||||||||||
Gruppenauthentifiziert | Angabe, ob das Authentifizierungsobjekt | ||||||||||||||
Authentifizierungsobjekt | Authentifizierungsobjekt, welches das Benutzerkonto referenziert. Jedes SharePoint Benutzerkonto repräsentiert ein Objekt aus einem Authentifizierungssystem, dem die SharePoint-Installation vertraut. Wenn dieses Authentifizierungssystem als Zielsystem Das Authentifizierungsobjekt wird bei der Synchronisation Einem gruppenauthentifizierten Benutzerkonto können folgende Authentifizierungsobjekte zugeordnet werden:
| ||||||||||||||
Authentifizierungsmodus |
Authentifizierungsmodus, der bei der Anmeldung mit diesem Benutzerkonto am SharePoint Server genutzt wird.
Der Anmeldenamen neuer Benutzerkonten ist abhängig vom verwendeten Authentifizierungsmodus. Der Authentifizierungsmodus wird durch eine Bildungsregel gesetzt. Der Wert ist abhängig von der Option Forderungsauthentifizierung der zugehörigen Webanwendung. Wenn Sie unternehmensspezifische Authentifizierungsmodi definiert haben, wählen Sie den Authentifizierungsmodus aus der Auswahlliste aus.
| ||||||||||||||
Anzeigename | Beliebiger Anzeigename des Benutzerkontos. Wird standardmäßig aus dem Anzeigenamen des Authentifizierungsobjektes gebildet. Wenn kein Authentifizierungsobjekt zugeordnet ist, tragen Sie den Anzeigenamen manuell ein. | ||||||||||||||
Anmeldename | Anmeldename des Benutzerkontos. Er wird über eine Bildungsregeln ermittelt. Wenn kein Authentifizierungsobjekt zugeordnet ist, tragen Sie den Anmeldenamen manuell ein.
| ||||||||||||||
E-Mail-Adresse | E-Mail-Adresse des Benutzerkontos. Sie wird über Bildungsregeln aus der E-Mail-Adresse des Authentifizierungsobjektes gebildet. | ||||||||||||||
Risikoindex (berechnet) |
Maximalwert der Risikoindexwerte aller zugeordneten | ||||||||||||||
Kategorie | Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. | ||||||||||||||
Hinweise | Freitextfeld für zusätzliche Erläuterungen. | ||||||||||||||
Identität |
Typ der Identität des Benutzerkontos.
| ||||||||||||||
Privilegiertes Benutzerkonto | Angabe, ob es sich um ein privilegiertes Benutzerkonto handelt. | ||||||||||||||
Administrator | Angabe, ob das Benutzerkonto Administrator einer Websitesammlung ist. | ||||||||||||||
Auditor | Angabe, ob das Benutzerkonto Auditor einer Websitesammlung ist. |
Konfigurationsparameter | Wirkung bei Aktivierung |
---|---|
QER\CalculateRiskIndex | Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Berechnung des Risikoindex. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.
Ist der Parameter aktiviert, können Werte für den Risikoindex erfasst und berechnet werden. |
Für ein benutzerauthentifiziertes Benutzerkonto erfassen Sie die folgenden Stammdaten.
Eigenschaft | Beschreibung | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Person | Person, die das Benutzerkonto verwendet. Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Person bereits eingetragen. Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Person aus der Auswahlliste wählen. Wenn ein Authentifizierungsobjekt | ||||||||||||||
Automatisierungsgrad | Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten. | ||||||||||||||
Kontendefinition |
Kontendefinition, über die das Benutzerkonto erstellt wurde. Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Person und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.
Um das Benutzerkonto manuell über eine Kontendefinition zu erstellen, tragen Sie im Eingabefeld Person eine Person ein. Es können alle Kontendefinitionen ausgewählt werden, die dieser Person zugewiesen sind und über die noch kein Benutzerkonto für diese Person erstellt wurde.
| ||||||||||||||
Websitesammlung | Websitesammlung, in der das Benutzerkonto genutzt wird. | ||||||||||||||
Gruppenauthentifiziert | Angabe, ob das Authentifizierungsobjekt des Benutzerkontos eine Gruppe ist. Die Option ist bei benutzerauthentifizierten Benutzerkonten deaktiviert. | ||||||||||||||
Authentifizierungsobjekt | Authentifizierungsobjekt, welches das Benutzerkonto referenziert. Jedes SharePoint Benutzerkonto repräsentiert ein Objekt aus einem Authentifizierungssystem, dem die SharePoint-Installation vertraut. Wenn dieses Authentifizierungssystem als Zielsystem Das Authentifizierungsobjekt wird bei der Synchronisation Einem benutzerauthentifizierten Benutzerkonto können folgende Authentifizierungsobjekte zugeordnet werden:
Benutzerkonten, die sich auf die Standard-SIDs einer Active Directory Umgebung beziehen, können im One Identity Manager kein Authentifizierungsobjekt referenzieren.
| ||||||||||||||
Authentifizierungsmodus |
Authentifizierungsmodus, der bei der Anmeldung mit diesem Benutzerkonto am SharePoint Server genutzt wird.
Der Anmeldenamen neuer Benutzerkonten ist abhängig vom verwendeten Authentifizierungsmodus. Der Authentifizierungsmodus wird durch eine Bildungsregel gesetzt. Der Wert ist abhängig von der Option Forderungsauthentifizierung der zugehörigen Webanwendung. Wenn Sie unternehmensspezifische Authentifizierungsmodi definiert haben, wählen Sie den Authentifizierungsmodus aus der Auswahlliste aus.
| ||||||||||||||
Anzeigename | Beliebiger Anzeigename des Benutzerkontos. Wird standardmäßig aus dem Anzeigenamen des Authentifizierungsobjektes gebildet. Wenn kein Authentifizierungsobjekt zugeordnet ist, tragen Sie den Anzeigenamen manuell ein. | ||||||||||||||
Anmeldename | Anmeldename des Benutzerkontos. Er wird über eine Bildungsregeln ermittelt. Wenn kein Authentifizierungsobjekt zugeordnet ist, tragen Sie den Anmeldenamen manuell ein.
| ||||||||||||||
E-Mail-Adresse | E-Mail-Adresse des Benutzerkontos. Sie wird über Bildungsregeln aus der E-Mail-Adresse des Authentifizierungsobjektes gebildet. | ||||||||||||||
Risikoindex (berechnet) |
Maximalwert der Risikoindexwerte aller zugeordneten | ||||||||||||||
Kategorie | Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. | ||||||||||||||
Hinweise | Freitextfeld für zusätzliche Erläuterungen. | ||||||||||||||
Identität |
Typ der Identität des Benutzerkontos.
| ||||||||||||||
Privilegiertes Benutzerkonto | Angabe, ob es sich um ein privilegiertes Benutzerkonto handelt. | ||||||||||||||
Gruppen erbbar |
Angabe, ob das Benutzerkonto
| ||||||||||||||
Administrator | Angabe, ob das Benutzerkonto Administrator einer Websitesammlung ist. | ||||||||||||||
Auditor | Angabe, ob das Benutzerkonto Auditor einer Websitesammlung ist. |
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy