Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Geschäftsrollen

Geschäftsrollen verwalten
One Identity Manager Benutzer für Geschäftsrollen Grundlagen für den Aufbau von hierarchischen Rollen Grundlagen zur Zuweisung von Unternehmensressourcen Grundlagen zur Berechnung der Vererbung Vorbereiten der Geschäftsrollen für die Zuweisung von Unternehmensressourcen Basisdaten zum Aufbau von Geschäftsrollen Geschäftsrollen bearbeiten Personen, Geräte und Arbeitsplätze an Geschäftsrollen zuweisen Unternehmensressourcen an Geschäftsrollen zuweisen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen Einrichten der IT Betriebsdaten Zusätzliche Aufgaben zur Verwaltung von Geschäftsrollen Berichte über Geschäftsrollen
Role Mining im One Identity Manager

Mögliche Zuweisungen von Unternehmensressourcen

Personen, Geräte und Arbeitsplätze können über indirekte Zuweisung Unternehmensressourcen erhalten. Dazu sind Personen, Geräte und Arbeitsplätze in beliebig viele Rollen eingeordnet. Über definierte Regeln erhalten die Personen, Geräte und Arbeitsplätze die entsprechenden Unternehmensressourcen.

Um Unternehmensressourcen an Rollen zuzuweisen, nutzen Sie die entsprechenden Aufgaben an den Rollen.

In der nachfolgenden Tabelle sind die möglichen Zuweisungen von Unternehmensressourcen an Personen, Geräte und Arbeitsplätze über Rollen dargestellt.

Hinweis: Die Unternehmensressourcen sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.
Tabelle 5: Mögliche Zuweisungen von Unternehmensressourcen über Rollen
 Zuweisbare Unternehmensressourcen Mitglieder in Rollen
Personen Arbeitsplätze

Ressourcen

möglich

-

Kontendefinitionen möglich  

Gruppen kundendefinierter Zielsysteme

möglich (Zuweisung an alle Benutzerkonten kundendefinierter Zielsysteme einer Person, für welche die Vererbung von Gruppen zugelassen ist)

-

Active Directory Gruppen

möglich (Zuweisung an alle Active Directory Benutzerkonten und Active Directory Kontakte einer Person, für welche die Vererbung von Gruppen zugelassen ist)

-

SharePoint Gruppen

möglich (Zuweisung an alle SharePoint Benutzerkonten einer Person)

-

SharePoint Rollen

möglich (Zuweisung an alle SharePoint Benutzerkonten einer Person)

-

LDAP Gruppen

möglich (Zuweisung an alle LDAP Benutzerkonten einer Person, für welche die Vererbung von Gruppen zugelassen ist)

-

Notes Gruppen

möglich (Zuweisung an alle Notes Benutzerkonten einer Person)

-

SAP Gruppen

möglich (Zuweisung an alle SAP Benutzerkonten einer Person, die im selben SAP Mandanten liegen)

-

SAP Profile

möglich (Zuweisung an alle SAP Benutzerkonten einer Person, die im selben SAP Mandanten liegen)

-

SAP Rollen

möglich (Zuweisung an alle SAP Benutzerkonten einer Person, die im selben SAP Mandanten liegen)

-

Strukturelle Profile

möglich (Zuweisung an alle SAP Benutzerkonten einer Person, die im selben SAP Mandanten liegen)

-

BI Analyseberechtigungen

möglich (Zuweisung an alle BI Benutzerkonten einer Person, die im selben System liegen)

-

Azure Active Directory Gruppen

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Person, für welche die Vererbung von Gruppen zugelassen ist)

-

Azure Active Directory Administratorrollen

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Person, für welche die Vererbung von Gruppen zugelassen ist)

-

Azure Active Directory Abonnements

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Person, für welche die Vererbung von Gruppen zugelassen ist)

-

Unwirksame Azure Active Directory Dienstpläne

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Person, für welche die Vererbung von Gruppen zugelassen ist)

-

Unix Gruppen

möglich (Zuweisung an alle Unix Gruppen einer Person)

-

Systemrollen

möglich

möglich

Abonnierbare Berichte

möglich

-

Applikationen

möglich

möglich

Verwandte Themen

Zuweisung von Personen, Geräten, Arbeitsplätzen und Unternehmensressourcen erlauben

Das Standardverfahren für die Zuweisung von Unternehmensressourcen über Rollen ist die sekundäre Zuweisung. Dafür werden sowohl Personen, Geräte und Arbeitsplätze als auch die Unternehmensressourcen über die sekundäre Zuweisung in die Rollen aufgenommen.

Die sekundäre Zuweisung von Objekten zu Rollen einer Rollenklasse wird über folgende Optionen definiert:

  • Zuweisung erlaubt

    Mit dieser Option legen Sie fest, ob die Zuweisung der jeweiligen Objekttypen zu Rollen der Rollenklasse generell erlaubt ist.

  • Direkte Zuweisung erlaubt

    Mit dieser Option legen Sie fest, ob die jeweiligen Objekttypen direkt an die Rollen der Rollenklasse zugewiesen werden können. Sollen beispielsweise Ressourcen über die Zuweisungsformulare im Manager an Abteilungen, Kostenstellen oder Standorte zugewiesen werden, dann setzen Sie diese Option.

    Hinweis: Ist die Option nicht gesetzt, dann ist die Zuweisung des jeweiligen Objekttyps nur über Bestellungen im IT Shop oder dynamische Rollen möglich.
Beispiel

Um Personen im Manager direkt an Geschäftsrollen zuzuweisen, aktivieren Sie an der Rollenklasse "Geschäftsrolle", für den Eintrag "Personen", die Optionen Zuweisungen erlaubt und Direkte Zuweisungen erlaubt.

Sollen Personen die Mitgliedschaft in einer Geschäftsrolle nur über den IT Shop erhalten, dann aktivieren Sie an der Rollenklasse "Geschäftsrolle", für den Eintrag "Personen", die Option Zuweisungen erlaubt und deaktivieren die Option Direkte Zuweisungen erlaubt. Im IT Shop muss dann eine entsprechende Zuweisungsressource verfügbar sein.

Um die sekundäre Zuweisung zu Rollen einer Rollenklasse zu konfigurieren

  1. Wählen Sie unter Basisdaten zur Konfiguration | Rollenklassen die Rollenklasse.
  2. Wählen Sie die Aufgabe Rollenzuweisungen konfigurieren.
  3. Verwenden Sie die Spalte Zuweisungen erlaubt um festzulegen, ob eine Zuweisung generell erlaubt ist.

    Hinweis: Sie können die Option Zuweisungen erlaubt nur dann deaktivieren, wenn es keine Zuweisungen der jeweiligen Objekte zu Rollen dieser Rollenklasse gibt oder über bestehende dynamische Rollen entstehen könnten.
  4. Verwenden Sie die Spalte Direkte Zuweisungen erlaubt um festzulegen, ob eine direkte Zuweisung erlaubt ist.

    Hinweis: Sie können die Option Direkte Zuweisung erlaubt nur dann deaktivieren, wenn es keine direkten Zuweisungen der jeweiligen Objekte zu Rollen der Rollenklasse gibt.
  5. Speichern Sie die Änderungen.

Festlegen der Vererbungsrichtung

Innerhalb einer Rollenhierarchie entscheidet die Vererbungsrichtung über die Zuteilung der Unternehmensressourcen. Die Vererbungsrichtung wird an den Rollenklassen festgelegt.

Die Vererbungsrichtung kann nur beim Einfügen einer Rollenklasse festgelegt werden.

  • Um die Top-Down-Vererbung festzulegen, aktivieren Sie die Option Vererbt von oben nach unten.
  • Um die Bottom-Up-Vererbung festzulegen, aktivieren Sie die Option Vererbt von unten nach oben.
Detaillierte Informationen zum Thema

Einschränken der Vererbung über Geschäftsrollen

In speziellen Fällen ist die Vererbung über mehrere Hierarchieebenen nicht gewünscht. Deshalb ist die Unterbrechung der Vererbung innerhalb einer Hierarchie möglich. Abhängig von der Vererbungsrichtung hat diese Festlegung unterschiedliche Auswirkungen.

  • Bei einer Top-Down-Vererbung erbt die mit der Option Vererbung blockieren versehene Rolle keine Zuweisungen aus der übergeordneten Ebene. Sie vererbt die ihr direkt zugewiesenen Unternehmensressourcen ihrerseits jedoch an die ihr untergeordneten Ebenen weiter.
  • In einer Bottom-Up-Vererbung erbt die mit der Option Vererbung blockieren versehene Rolle alle Zuweisungen der untergeordneten Ebenen. Die Rolle selbst vererbt jedoch keinerlei Zuweisungen weiter nach oben.

Um die Vererbung zu unterbrechen

  1. Öffnen Sie das Stammdatenformular für eine Rolle.

  2. Aktivieren Sie die Option Vererbung blockieren.
  3. Speichern Sie die Änderungen.

Für einzelne Rollen kann die Vererbung von Unternehmensressourcen vorübergehend verhindert werden. Dieses Verhalten können Sie beispielsweise nutzen, um alle erforderlichen Unternehmensressourcen an eine Rolle zuzuweisen. Die Vererbung der Unternehmensressourcen erfolgt jedoch erst dann, wenn die Vererbung für diese Rolle wieder zugelassen wird, beispielsweise nach Durchlaufen eines definierten Freigabeprozesses.

Um die Vererbung für eine Rolle zu verhindern

  1. Öffnen Sie das Stammdatenformular für die Rolle.

  2. Aktivieren Sie die Option
    • Keine Vererbung an Personen
    • Keine Vererbung an Geräte

      - ODER -

    • Keine Vererbung an Arbeitsplätze
  3. Speichern Sie die Änderungen.

Ebenso kann für einzelne Personen, Geräte oder Arbeitsplätze die Vererbung von Unternehmensressourcen verhindert werden. Dieses Verhalten können Sie beispielsweise nutzen, um nach einem Personenimport die importierten Daten zunächst zu korrigieren und erst anschließend die Vererbung freizuschalten.

Um die Vererbung für eine Person zu verhindern

  1. Öffnen Sie das Stammdatenformular für die Person.

  2. Aktivieren Sie die Option Keine Vererbung.

    Die Person erbt keine Unternehmensressourcen über Rollen.

    Hinweis: Diese Option hat keinen Einfluss auf direkte Zuweisungen! Direkt zugewiesene Unternehmensressourcen bleiben zugewiesen.
  3. Speichern Sie die Änderungen.

Um die Vererbung für ein Gerät zu verhindern

  1. Öffnen Sie das Stammdatenformular für das Gerät.

  2. Aktivieren Sie die Option Keine Vererbung.

    Das Gerät erbt keine Unternehmensressourcen über Rollen.

    Hinweis: Diese Option hat keinen Einfluss auf direkte Zuweisungen! Direkt zugewiesene Unternehmensressourcen bleiben zugewiesen.
  3. Speichern Sie die Änderungen.

Um die Vererbung für einen Arbeitsplatz zu verhindern

  1. Öffnen Sie das Stammdatenformular für den Arbeitsplatz.

  2. Aktivieren Sie die Option Keine Vererbung.

    Der Arbeitsplatz erbt keine Unternehmensressourcen über Rollen.

    Hinweis: Diese Option hat keinen Einfluss auf direkte Zuweisungen! Direkt zugewiesene Unternehmensressourcen bleiben zugewiesen.
  3. Speichern Sie die Änderungen.
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating