Im One Identity Manager können unterschiedliche Typen von Benutzerkonten wie beispielsweise Standardbenutzerkonten, administrative Benutzerkonten oder Dienstkonten abgebildet werden.
Zur Abbildung der verschiedenen Benutzerkontentypen werden die folgenden Eigenschaften verwendet.
Die Identität beschreibt den Typ des Benutzerkontos.
Identität | Beschreibung | Wert der Spalte "IdentityType" |
---|---|---|
Primäre Identität | Standardbenutzerkonto einer Person. | Primary |
Organisatorische Identität | Sekundäres Benutzerkonto, welches für unterschiedlichen Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen. | Organizational |
Persönliche Administratoridentität | Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird. | Admin |
Zusatzidentität | Benutzerkonto, das beispielsweise zu Trainingszwecken genutzt wird. | Sponsored |
Gruppenidentität | Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird. | Shared |
Dienstidentität | Dienstkonto. | Service |
Mit dieser Option werden Benutzerkonten mit besonderen privilegierten Berechtigungen gekennzeichnet. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Standardbenutzerkonten werden nicht mit dieser Option gekennzeichnet.
In der Regel erhält jede Person ein Standardbenutzerkonto, das die Berechtigungen besitzt, die für die tägliche Arbeit benötigt werden. Die Benutzerkonten haben eine Verbindung zur Person. Über eine Kontendefinition und deren Automatisierungsgrade kann die Auswirkung der Verbindung und der Umfang der vererbten Eigenschaften der Person an die Benutzerkonten konfiguriert werden.
Um Standardbenutzerkonten über Kontendefinitionen zu erstellen
Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, beispielsweise ob der Container für ein Benutzerkonto über die Abteilung, die Kostenstelle, den Standort oder die Geschäftsrolle einer Person gebildet wird, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.
Welche IT Betriebsdaten erforderlich sind, ist abhängig vom ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“. Für Standardbenutzerkonten werden folgende Einstellungen empfohlen:
Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.
Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.
Für bestimmte administrative Aufgaben, ist der Einsatz administrativer Benutzerkonten notwendig. Administrative Benutzerkonten werden in der Regel vom Zielsystem vorgegeben und haben feste Bezeichnungen und Anmeldenamen, wie beispielsweise "Administrator".
Administrative Benutzerkonten werden durch die SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem Zielsystem. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. in den One Identity Manager eingelesen. Um administrativen Benutzerkonten einen Verantwortlichen zuzuweisen, weisen Sie dem Benutzerkonto im One Identity Manager eine Person zu.
|
Hinweis: Administrative Benutzerkonten können automatisch als privilegierte Benutzerkonten gekennzeichnet werden. Aktivieren Sie dazu im Designer den Zeitplan "Ausgewählte Benutzerkonten als privilegiert kennzeichnen". |
Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (IsPrivilegedAccount) gekennzeichnet.
|
Hinweis: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ "Union") definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount. |
Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen
Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, beispielsweise ob der Container für ein Benutzerkonto über die Abteilung, die Kostenstelle, den Standort oder die Geschäftsrolle einer Person gebildet wird, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.
Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:
Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.
Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.
|
Hinweis: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einen definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach denen Anmeldenamen gebildet werden. Um ein Präfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter Diese Konfigurationsparameter werden in der Standardinstallation ausgewertet, wenn Sie ein Benutzerkonto, mit der Eigenschaft Privilegiertes Benutzerkonto (IsPrivilegedAccount) kennzeichnen. Die Anmeldenamen der Benutzerkonten werden entsprechend der Bildungsregeln umbenannt. Dies erfolgt auch, wenn die Benutzerkonten über den Zeitplan "Ausgewählte Benutzerkonten als privilegiert kennzeichnen" als privilegiert gekennzeichnet werden. |
Ein Benutzerkonto kann im One Identity Manager mit einer Person verbunden sein. Ebenso können Sie die Benutzerkonten getrennt von Personen verwalten.
|
Hinweis: Um Benutzerkonten für die Personen eines Unternehmens einzurichten, wird der Einsatz von Kontendefinitionen empfohlen. Einige der nachfolgend beschriebenen Stammdaten werden dabei über Bildungsregeln aus den Personenstammdaten gebildet. |
|
Hinweis: Sollen Personen ihre Benutzerkonten über Kontendefinitionen erhalten, müssen die Personen ein zentrales Benutzerkonto besitzen |
Um die Stammdaten eines Benutzerkontos zu bearbeiten
- ODER -
Klicken Sie in der Ergebnisliste .
Um ein Benutzerkonto für eine Person manuell zuzuweisen oder zu erstellen
Konfigurationsparameter | Bedeutung |
---|---|
TargetSystem\ADS\Accounts\TransferJPegPhoto |
Der Konfigurationsparameter legt fest, ob bei Änderung des Bildes in den Stammdaten der Person dieses an bestehende Benutzerkonten publiziert wird. Das Bild ist nicht Bestandteil der normalen Synchronisation |
Auf dem Tabreiter Allgemein erfassen Sie folgende Stammdaten.
Eigenschaft | Beschreibung | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Person |
Person, die das Benutzerkonto verwendet. Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Person bereits eingetragen. Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Person aus der Auswahlliste wählen. Wenn Sie die automatische Personenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Person erzeugt und in das Benutzerkonto übernommen. | ||||||||||||||
Kontendefinition |
Kontendefinition, über die das Benutzerkonto erstellt wurde. Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Person und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.
Um das Benutzerkonto manuell über eine Kontendefinition zu erstellen, tragen Sie im Eingabefeld Person eine Person ein. Es können alle Kontendefinitionen ausgewählt werden, die dieser Person zugewiesen sind und über die noch kein Benutzerkonto für diese Person erstellt wurde. | ||||||||||||||
Automatisierungsgrad |
Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten. | ||||||||||||||
Vorname |
Vorname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt. | ||||||||||||||
Nachname |
Nachname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt. | ||||||||||||||
Initialen |
Initialen des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt. | ||||||||||||||
Titel |
Akademischer Titel des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt. | ||||||||||||||
Bezeichnung |
Bezeichnung des Benutzerkontos. Die Bezeichnung wird aus dem Vornamen und dem Nachnamen des Benutzers gebildet. | ||||||||||||||
Definierter Name |
Definierter Name des Benutzerkontos. Der definierte Name wird aus der Bezeichnung des Benutzerkontos und dem Container gebildet und kann nicht bearbeitet werden. | ||||||||||||||
Domäne |
Domäne, in der das Benutzerkonto erzeugt werden soll. | ||||||||||||||
Container |
Container in dem das Benutzerkonto erzeugt werden soll. Haben Sie eine Kontendefinition zugeordnet, wird der Container, abhängig vom Automatisierungsgrad, aus den gültigen IT Betriebsdaten der zugeordneten Person ermittelt. Bei der Auswahl des Containers wird per Bildungsregel der definierte Name für das Benutzerkonto ermittelt. | ||||||||||||||
Primäre Gruppe |
Primäre Gruppe des Benutzerkontos. Die Synchronisation mit der Active Directory-Umgebung weist das Benutzerkonto standardmäßig der Gruppe "Domain Users" zu. Als primäre Gruppen stehen dabei nur die Gruppen zur Auswahl, die dem Benutzerkonto bereits zugewiesen wurden. | ||||||||||||||
Anmeldename (pre Win2000) |
Anmeldename für die Vorgängerversion von Active Directory. Haben Sie eine Kontendefinition zugeordnet, wird, abhängig vom Automatisierungsgrad, der Anmeldename (pre Win2000) aus dem zentralen Benutzerkonto der Person gebildet. | ||||||||||||||
Benutzeranmeldename |
Anmeldename des Benutzerkontos. Der Benutzeranmeldename entspricht dem Benutzerprinzipalnamen (User Principal Name) des Benutzers im Active Directory. Haben Sie bereits den Container festgelegt und den Anmeldenamen (pre Win2000) eingegeben, wird der Benutzeranmeldename durch eine Bildungsregel nach folgendem Schema Anmeldename (pre Win2000)@AD Domänenname | ||||||||||||||
E-Mail-Adresse |
E-Mail-Adresse des Benutzerkontos. Haben Sie eine Kontendefinition zugeordnet, wird, abhängig vom Automatisierungsgrad, die E-Mail-Adresse aus der Standard-E-Mail-Adresse der Person gebildet. | ||||||||||||||
Kontoverfallsdatum |
Kontoverfallsdatum. Die Festlegung eines Kontoverfallsdatums bewirkt, dass die Anmeldung für dieses Benutzerkonto verweigert wird, sobald das eingegebene Datum überschritten ist. Haben Sie eine Kontendefinition zugeordnet, wird, abhängig vom Automatisierungsgrad, das Austrittsdatum der Person als Kontoverfallsdatum übernommen. Ein bereits eingetragenes Kontoverfallsdatum des Benutzerkontos wird dabei überschrieben. | ||||||||||||||
Strukturelle Objektklasse |
Strukturelle Objektklasse, die den Typ des Objektes repräsentiert. Standardmäßig richten Sie Benutzerkonten im One Identity Manager mit der Objektklasse "USER" ein. Es wird jedoch auch die Objektklasse "INETORGPERSON" unterstützt, welche von anderen LDAP- und X.500-Verzeichnisdiensten zur Abbildung von Benutzerkonten genutzt wird. | ||||||||||||||
Risikoindex (berechnet) |
Maximalwert der Risikoindexwerte aller zugeordneten | ||||||||||||||
Kategorie |
Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. | ||||||||||||||
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. | ||||||||||||||
Identität |
Typ der Identität des Benutzerkontos.
| ||||||||||||||
Privilegiertes Benutzerkonto |
Angabe, ob es sich um ein privilegiertes Benutzerkonto handelt. | ||||||||||||||
Gruppen erbbar |
Angabe, ob das Benutzerkonto Gruppen über die Person erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.
| ||||||||||||||
Bevorzugtes Benutzerkonto |
Bevorzugtes Benutzerkonto, wenn eine Person mehrere Benutzerkonten im Active Directory besitzt. | ||||||||||||||
Benutzerkonto ist deaktiviert |
Angabe, ob das Benutzerkonto deaktiviert ist. Wird ein Benutzerkonto vorübergehend nicht benötigt, können Sie das Benutzerkonto über die Option zeitweilig deaktivieren. | ||||||||||||||
Konto gesperrt |
Angabe, ob das Benutzerkonto gesperrt ist. Nach mehrmaliger (abhängig von der Konfiguration) falscher Kennworteingabe wird das Benutzerkonto in der Active Directory-Umgebung gesperrt. Im Manager können Sie das Benutzerkonto über die Aufgabe Benutzerkonto entsperren wieder entsperren. |
Konfigurationsparameter | Bedeutung |
---|---|
TargetSystem\ADS\Accounts\ |
Der Konfigurationsparameter legt fest, ob beim Anlegen eines neuen Benutzerkontos die Option "Kein Kennwort erforderlich" in der Active Directory-Umgebung aktiviert wird. |
TargetSystem\ADS\Accounts\ |
Der Konfigurationsparameter legt fest, ob bei Neuanlage von Benutzerkonten die Option "Kennwort bei der nächsten Anmeldung ändern" gesetzt wird. |
|
Hinweis: Beim Prüfen eines Benutzerkennwortes werden die Kennwortrichtlinien, die Einstellungen der globalen Kontenrichtlinien für die Active Directory Domäne sowie die Active Directory Kontenrichtlinien beachtet. |
Auf dem Tabreiter Kennwort erfassen Sie folgende Stammdaten.
Eigenschaft |
Beschreibung | ||
---|---|---|---|
Kennwort |
Kennwort für das Benutzerkonto. Abhängig vom Konfigurationsparameter "Person\UseCentralPassword" wird das zentrale Kennwort der zugeordneten Person auf das Kennwort des Benutzerkontos abgebildet. Wenn Sie ein initiales Kennwort für Benutzerkonten verwenden, wird dieses automatisch bei Erstellen eines Benutzerkontos eingetragen. | ||
Kennwortbestätigung |
Kennwortwiederholung. | ||
Letzte Kennwortänderung |
Datum der letzten Kennwortänderung. Das Datum wird aus der Active Directory-Umgebung ausgelesen und kann nicht bearbeitet werden. | ||
Kennwort läuft nie ab |
Angabe, ob ein Kennwort abläuft. Diese Option wird in der Regel für Dienstkonten verwendet. Die Option überschreibt das maximale Kennwortalter und die Option Kennwort bei der nächsten Anmeldung ändern. | ||
Kennwort nicht änderbar |
Angabe, ob das Kennwort änderbar ist. Diese Option wird in der Regel für Benutzerkonten gesetzt, die von mehreren Benutzern verwendet werden. | ||
Kennwort bei der nächsten Anmeldung ändern |
Angabe, ob der Benutzer bei der nächsten Anmeldung das Kennwort anpassen muss.
| ||
Kennwort mit reversibler Verschlüsselung speichern |
Angabe zur Verschlüsselung des Kennwortes. Standardmäßig werden Kennwörter im Active Directory verschlüsselt gespeichert. Bei Verwendung dieser Option werden Kennwörter in Klartext gespeichert und können so wieder hergestellt werden. | ||
SmartCard zur Anmeldung erforderlich |
Angabe zur Anmeldung mittels SmartCard. Aktivieren Sie die Option, um öffentliche und private Schlüssel, Kennwörter und andere persönliche Informationen für dieses Active Directory Benutzerkonto sicher zu speichern. Um sich am Netzwerk anmelden zu können, muss der Computer des Benutzers mit einem Smartcard-Leser ausgestattet sein und der Benutzer muss über eine PIN (Personal Identification Number) verfügen. | ||
Konto wird für Delegierungszwecke vertraut |
Angabe zur Delegierung. Aktivieren Sie die Option, damit ein Benutzer die Verantwortung für die Verwaltung und Administration eines Teilbereichs der Domäne an ein anderes Active Directory Benutzerkonto oder eine andere Gruppe delegieren kann. | ||
Konto kann nicht delegiert werden |
Angabe zur Delegierung. Aktivieren Sie die Option, falls dieses Benutzerkonto nicht zu Delegierungszwecken von einem anderen Benutzerkonto zugewiesen werden kann. | ||
Konto verwendet DES Verschlüsselung |
Angabe zur Verschlüsselung. Aktivieren Sie die Option, falls Sie die DES Unterstützung (Data Encryption Standard) aktivieren möchten. | ||
Keine Kerberos-Präauthentifizierung nötig |
Angabe, ob eine Kerberos-Präauthentifizierung notwendig ist. Aktivieren Sie die Option, wenn das Benutzerkonto eine andere Implementierung des Kerberos-Protokolls verwendet. |
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy