Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Geschäftsrollen

Geschäftsrollen verwalten
One Identity Manager Benutzer für Geschäftsrollen Grundlagen für den Aufbau von hierarchischen Rollen Grundlagen zur Zuweisung von Unternehmensressourcen Grundlagen zur Berechnung der Vererbung Vorbereiten der Geschäftsrollen für die Zuweisung von Unternehmensressourcen Basisdaten zum Aufbau von Geschäftsrollen Geschäftsrollen bearbeiten Personen, Geräte und Arbeitsplätze an Geschäftsrollen zuweisen Unternehmensressourcen an Geschäftsrollen zuweisen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen Einrichten der IT Betriebsdaten Zusätzliche Aufgaben zur Verwaltung von Geschäftsrollen Berichte über Geschäftsrollen
Role Mining im One Identity Manager

Personen, Geräte und Arbeitsplätze an Geschäftsrollen zuweisen

Damit Unternehmensressourcen an Personen, Geräte und Arbeitsplätze vererbt werden können, müssen Sie diese Objekte an Rollen zuweisen.

Um Personen, Geräte und Arbeitsplätze in eine Geschäftsrolle aufzunehmen

  1. Wählen Sie die Kategorie Geschäftsrollen | <Rollenklasse>.
  2. Wählen Sie in der Ergebnisliste die Geschäftsrolle.
  3. Wählen Sie die entsprechende Aufgabe:
    • Personen zuweisen
    • Geräte zuweisen
    • Arbeitsplätze zuweisen
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Objekte zu.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Objekte.

  5. Speichern Sie die Änderungen.

TIPP: Nutzen Sie dynamische Rollen, um Personen, Geräte und Arbeitsplätze automatisch an Geschäftsrollen zuzuweisen.
Verwandte Themen

Unternehmensressourcen an Geschäftsrollen zuweisen

Das Standardverfahren für die Zuweisung von Unternehmensressourcen an Personen, Geräte und Arbeitsplätze ist die indirekte Zuweisung. Dabei wird eine Person, ein Gerät oder ein Arbeitsplatz in Geschäftsrollen eingeordnet. Aus der Position innerhalb der Hierarchie, der Vererbungsrichtung und den Unternehmensressourcen, die diesen Rollen zugeordnet sind, berechnet sich die Summe der zugeordneten Unternehmensressourcen für eine Person, ein Gerät oder einen Arbeitsplatz.

Die indirekte Zuweisung wird unterschieden in

  • Sekundäre Zuweisung

    Die sekundäre Zuweisung erfolgt über die Einordnung einer Person, eines Gerätes oder eines Arbeitsplatzes in eine Rollenhierarchie. Die sekundäre Zuweisung ist das Standardverfahren für die Zuweisung und Vererbung von Unternehmensressourcen über Rollen.

    Wichtig: Ob eine sekundäre Zuweisung von Unternehmensressourcen möglich ist, legen Sie an den Rollenklassen fest.

    Erfüllt eine Person, ein Gerät oder ein Arbeitsplatz die Bedingungen einer dynamischen Rolle, so wird das Objekt dynamisch in die entsprechende Unternehmensstruktur aufgenommen und kann über diese Unternehmensressourcen erhalten.

  • Primäre Zuweisung

    Die primäre Zuweisung erfolgt über die Fremdschlüssel-Referenzierung einer Geschäftsrolle in den Personen-, Geräte- und Arbeitsplatzobjekten. Die Vererbung über die primären Zuweisungen kann über Konfigurationsparameter aktiviert werden.

Damit Unternehmensressourcen an Personen, Geräte und Arbeitsplätze vererbt werden können, müssen Sie die Unternehmensressourcen an Geschäftsrollen zuweisen. In der nachfolgenden Tabelle sind die möglichen Zuweisungen von Unternehmensressourcen dargestellt.

Hinweis: Die Unternehmensressourcen sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.
Tabelle 14: Mögliche Zuweisungen von Unternehmensressourcen an Rollen
 Unternehmensressource Verfügbar im Modul

Ressourcen

immer

Kontendefinitionen Zielsystem Basismodul

Gruppen kundendefinierter Zielsysteme

Zielsystem Basismodul

Active Directory Gruppen

Active Directory Modul

SharePoint Gruppen

SharePoint Modul

SharePoint Rollen

SharePoint Modul

LDAP Gruppen

LDAP Modul

Notes Gruppen

IBM Notes Modul

SAP Gruppen

SAP R/3 Benutzermanagement-Modul

SAP Profile

SAP R/3 Benutzermanagement-Modul

SAP Rollen

SAP R/3 Benutzermanagement-Modul

Strukturelle Profile

Modul SAP R/3 Strukturelle Profile Add-on

BI Analyseberechtigungen

Modul SAP R/3 Analyseberechtigungen Add-on

Systemrollen

Systemrollenmodul

Abonnierbare Berichte

Modul Berichtsabonnement

Applikationen

Modul Applikationsmanagement

Azure Active Directory Gruppen

Azure Active Directory Modul

Azure Active Directory Administratorrollen

Azure Active Directory Modul

Azure Active Directory Abonnements

Azure Active Directory Modul

Unwirksame Azure Active Directory Dienstpläne

Azure Active Directory Modul

Unix Gruppen

Modul Unix-basierte Zielsysteme

Um Unternehmensressourcen in eine hierarchische Rolle aufzunehmen

  1. Wählen Sie die Kategorie Geschäftsrollen | <Rollenklasse>.
  2. Wählen Sie in der Ergebnisliste die Rolle.
  3. Wählen Sie die Aufgabe zum Zuweisen der entsprechenden Unternehmensressource.
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Unternehmensressourcen zu.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Unternehmensressourcen.

  5. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Verwandte Themen

Analyse von Rollenmitgliedschaften und Zuweisungen an Personen

Für einige Objekte, wie beispielsweise Berechtigungen, Complianceregeln oder Rollen wird der Bericht "Übersicht aller Zuweisungen" angezeigt. Der Bericht ermittelt alle Rollen, wie beispielsweise Abteilungen, Kostenstellen, Standorte, Geschäftsrollen und IT Shop Strukturen, in denen sich Personen befinden, die das gewählte Basisobjekt besitzen. Dabei werden sowohl direkte als auch indirekte Zuweisungen des Basisobjektes berücksichtigt.

Beispiele
  • Wird der Bericht für eine Ressource erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Ressource besitzen.
  • Wird der Bericht für eine Gruppe erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Gruppe besitzen.
  • Wird der Bericht für eine Complianceregel erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Complianceregel verletzten.
  • Wird der Bericht für eine Abteilung erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Abteilung ebenfalls Mitglied sind.
  • Wird der Bericht für eine Geschäftsrolle erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Geschäftsrolle ebenfalls Mitglied sind.

Um detaillierte Informationen über Zuweisungen anzuzeigen

  • Um den Bericht anzuzeigen, wählen Sie in der Navigation oder in der Ergebnisliste das Basisobjekt und wählen Sie den Bericht Übersicht aller Zuweisungen.
  • Wählen Sie über die Schaltfläche Verwendet von in der Symbolleiste des Berichtes, die Rollenklasse (Abteilung, Kostenstelle, Standort, Geschäftsrolle oder IT Shop Struktur), für die Sie ermitteln möchten, ob es Rollen gibt, in denen sich Personen mit dem ausgewählten Basisobjekt befinden.

    Angezeigt werden alle Rollen der gewählten Rollenklasse. Die Färbung der Steuerelemente zeigt an, in welcher Rolle sich Personen befinden, denen das ausgewählte Basisobjekt zugewiesen ist. Die Bedeutung der Steuerelemente des Berichts ist in einer separaten Legende erläutert. Die Legende erreichen Sie über das Symbol in der Symbolleiste des Berichtes.

  • Mit einem Maus-Doppelklick auf das Steuerelement einer Rolle zeigen Sie alle untergeordneten Rollen der ausgewählten Rolle an.
  • Mit einem einfachen Mausklick auf die Schaltfläche im Steuerelement einer Rolle zeigen Sie alle Personen dieser Rolle an, die das Basisobjekt besitzen.
  • Über den Pfeil rechts neben der Schaltfläche starten Sie einen Assistenten, mit dem Sie die Liste der angezeigten Personen zur Nachverfolgung speichern können. Dabei wird eine neue Geschäftsrolle erstellt und die Personen werden der Geschäftsrolle zugeordnet.

Abbildung 13: Symbolleiste des Berichts "Übersicht aller Zuweisungen"

Tabelle 15: Bedeutung der Symbole in der Symbolleiste des Berichts
Symbol Bedeutung
Anzeigen der Legende mit der Bedeutung der Steuerelemente des Berichts.
Speichern der aktuellen Ansicht des Berichts als Bild.
Auswählen der Rollenklasse, über die der Bericht erstellt werden soll.

Anzeige aller Rollen oder Anzeige der betroffenen Rolle.

Einrichten der IT Betriebsdaten

Um für eine Person Benutzerkonten mit dem Automatisierungsgrad "Full managed" zu erzeugen, müssen die benötigten IT Betriebsdaten ermittelt werden. Welche IT Betriebsdaten für welches Zielsystem konkret verwendet werden sollen, wird an den Abteilungen, Kostenstellen, Standorten und Geschäftsrollen definiert. Einer Person wird eine primäre Abteilung, eine primäre Kostenstelle, ein primärer Standort oder eine primäre Geschäftsrolle zugeordnet. Abhängig von dieser Zuordnung werden die gültigen IT Betriebsdaten ermittelt und für die Erstellung des Benutzerkontos verwendet. Können über die primären Rollen keine gültigen IT Betriebsdaten ermittelt werden, werden die Standardwerte verwendet.

Wenn in einem Zielsystem mehrere Kontendefinitionen für die Abbildung der Benutzerkonten verwendet werden, können Sie die IT Betriebsdaten auch direkt für eine konkrete Kontendefinition festlegen.

Beispiel:

In der Regel erhält jede Person der Abteilung A ein Standardbenutzerkonto in der Domäne A. Zusätzlich erhalten einige Personen der Abteilung A administrative Benutzerkonten in der Domäne A.

Erstellen Sie eine Kontendefinition A für die Standardbenutzerkonten der Domäne A und eine Kontendefinition B für die administrativen Benutzerkonten der Domäne A. In der Abbildungsvorschrift der IT Betriebsdaten für die Kontendefinitionen A und B legen Sie die Eigenschaft "Abteilung" zur Ermittlung der gültigen IT Betriebsdaten fest.

Für die Abteilung A legen Sie die wirksamen IT Betriebsdaten für die Domäne A fest. Diese IT Betriebsdaten werden für die Standardbenutzerkonten verwendet. Zusätzlich legen Sie für die Abteilung A die wirksamen IT Betriebsdaten für die Kontendefinition B fest. Diese IT Betriebsdaten werden für administrative Benutzerkonten verwendet.

Um IT Betriebsdaten festzulegen

  1. Wählen Sie die Kategorie Geschäftsrollen | <Rollenklasse>.
  2. Wählen Sie in der Ergebnisliste eine Rolle.
  3. Wählen Sie die Aufgabe IT Betriebsdaten bearbeiten und erfassen Sie folgende Daten.

    Tabelle 16: IT Betriebsdaten
    Eigenschaft Beschreibung
    Organisation/Geschäftsrolle Abteilung, Kostenstelle, Standort oder Geschäftsrolle, für die die IT Betriebsdaten gelten sollen.
    Wirksam für Anwendungsbereich der IT Betriebsdaten. Die IT Betriebsdaten können für ein Zielsystem oder für eine definierte Kontendefinition verwendet werden.

    Um den Anwendungsbereich festzulegen

    1. Klicken Sie auf die Schaltfläche neben dem Eingabefeld.
    2. Wählen Sie unter Tabelle die Tabelle, die das Zielsystem abbildet oder für eine Kontendefinition die Tabelle TSBAccountDef.
    3. Wählen Sie unter Wirksam für das konkrete Zielsystem oder die konkrete Kontendefinition.
    4. Klicken Sie OK.
    Spalte Eigenschaft des Benutzerkontos, für die der Wert gesetzt wird.

    In der Auswahlliste werden die Spalten angeboten, die in ihrer Bildungsregel das Skript TSB_ITDataFromOrg verwenden. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

    Wert Konkreter Wert, welcher der Eigenschaft des Benutzerkontos zugewiesen werden soll.
  4. Speichern Sie die Änderungen.

Die IT Betriebsdaten, die in der Standardkonfiguration des One Identity Manager für das automatische Erzeugen oder Ändern von Benutzerkonten und Postfächer für eine Person in den Zielsystemen verwendet werden, sind in der nachfolgenden Tabelle aufgeführt.

Hinweis: Die IT Betriebsdaten sind abhängig vom Zielsystem und sind in den One Identity Manager Modulen enthalten. Die Daten stehen erst zur Verfügung, wenn die Module installiert sind.
Tabelle 17: Zielsystemtyp-abhängige IT Betriebsdaten
Zielsystemtyp IT Betriebsdaten

Active Directory

Container

Homeserver

Profilserver

Terminal Homeserver

Terminal Profilserver

Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Microsoft Exchange

Postfachdatenbank

LDAP

Container

Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

IBM Notes

Server

Zertifikat

Vorlage der Postdatei

Identität

SharePoint

Authentifizierungsmodus

Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Kundendefinierte Zielsysteme

Container (je Zielsystem)

Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Azure Active Directory

Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Kennwort bei der nächsten Anmeldung ändern

Cloud Zielsystem Container (je Zielsystem)
Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Unix-basierte Zielsysteme

 

 

 

Login-Shell
Gruppen erbbar

Identität

Privilegiertes Benutzerkonto

Exchange Online

Gruppen erbbar

G Suite

Organisationseinheit

Gruppen erbbar

Privilegiertes Benutzerkonto

Kennwort bei der nächsten Anmeldung ändern

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating