Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Einrichten der Synchronisation mit einer Active Directory-Umgebung Basisdaten für die Verwaltung einer Active Directory-Umgebung
Einrichten von Kontendefinitionen Kennwortrichtlinien Initiales Kennwort für neue Active Directory Benutzerkonten E-Mail-Benachrichtigungen über Anmeldeinformationen Benutzerkontennamen Zielsystemverantwortliche Bearbeiten eines Servers
Active Directory Domänen Active Directory Benutzerkonten
Benutzerkonten mit Personen verbinden Unterstützte Typen von Benutzerkonten Erfassen der Stammdaten für Active Directory Benutzerkonten Zusätzliche Aufgaben für die Verwaltung von Active Directory Benutzerkonten Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Deaktivieren von Active Directory Benutzerkonten Löschen und Wiederherstellen von Active Directory Benutzerkonten
Active Directory Kontakte Active Directory Gruppen Active Directory Sicherheits-IDs Active Directory Containerstrukturen Active Directory Computer Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte Anhang: Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Anhang: Standardprojektvorlage für Active Directory Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Automatische Zuordnung von Personen zu Active Directory Benutzerkonten

Automatische Zuordnung von Personen zu Active Directory Benutzerkonten

Tabelle 53: Konfigurationsparameter für die automatische Personenzuordnung
Konfigurationsparameter Bedeutung

TargetSystem\ADS\PersonAutoFullsync

Der Konfigurationsparameter legt den Modus für die automatische Personenzuordnung für Benutzerkonten fest, die durch die SynchronisationClosed in der Datenbank angelegt oder aktualisiert werden.

TargetSystem\ADS\PersonAutoDefault

Der Konfigurationsparameter legt den Modus für die automatische Personenzuordnung für Benutzerkonten fest, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem\ADS\PersonExcludeList

Der Konfigurationsparameter enthält eine Auflistung aller Benutzerkonten, für die keine automatische Personenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Beispiel:

ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.*\$

TargetSystem\ADS\
PersonAutoDisabledAccounts

Der Konfigurationsparameter legt fest, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

Beim Einfügen eines Benutzerkontos kann automatisch eine vorhandene Person zugeordnet und im Bedarfsfall neu erstellt werden. Dabei werden die Personenstammdaten anhand vorhandener Benutzerstammdaten erzeugt. Dieser Mechanismus kann auf die Erstellung eines neuen Benutzerkontos durch manuelle Anlage oder Synchronisation folgen. Für die automatische Personenzuordnung definieren Sie Kriterien für die Ermittlung der Personen. Wird durch den eingesetzten Modus ein Benutzerkonto mit einer Person verbunden, so erhält das Benutzerkonto durch interne Verarbeitung den Standardautomatisierungsgrad der Kontendefinition, die am Zielsystem des Benutzerkontos eingetragen ist. Abhängig davon, wie das Verhalten des verwendeten Automatisierungsgrades definiert ist, können Eigenschaften der Benutzerkonten angepasst werden.

Schalten Sie das Verfahren im laufenden Betrieb ein, erfolgt ab diesem Zeitpunkt die automatische Zuordnung der Personen zu Benutzerkonten. Deaktivieren Sie das Verfahren zu einem späteren Zeitpunkt wieder, wirkt sich diese Änderung nur auf Benutzerkonten aus, die ab diesem Zeitpunkt angelegt oder aktualisiert werden. Bereits vorhandene Zuordnungen von Personen zu Benutzerkonten bleiben bestehen.

Hinweis: Für administrative Benutzerkonten wird empfohlen, die Zuordnung der Personen nicht über die automatische Personenzuordnung vorzunehmen. Ordnen Sie Personen zu administrativen Benutzerkonten über die Aufgabe Stammdaten bearbeiten am jeweiligen Benutzerkonto zu.

Führen Sie folgende Aktionen aus, damit Personen automatisch zugeordnet werden können.

  • Wenn Personen bei der Synchronisation von Benutzerkonten zugeordnet werden sollen, aktivieren Sie im Designer den Konfigurationsparameter „TargetSystem\ADS\PersonAutoFullsync“ und wählen Sie den gewünschte Modus.
  • Wenn Personen außerhalb der Synchronisation zugeordnet werden sollen, aktivieren Sie im Designer den Konfigurationsparameter „TargetSystem\ADS\PersonAutoDefault“ und wählen Sie den gewünschte Modus.
  • Legen Sie im Konfigurationsparameter "TargetSystem\ADS\PersonExcludeList" die Benutzerkonten fest, für die keine automatische Zuordnung zu Personen erfolgen soll.

    Beispiel:

    ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.*\$

  • Legen Sie über den Konfigurationsparameter "TargetSystem\ADS\PersonAutoDisabledAccounts" fest, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.
  • Weisen Sie der Domäne eine Kontendefinition zu. Stellen Sie sicher, dass der Automatisierungsgrad, der verwendet werden soll, als Standardautomatisierungsgrad eingetragen ist.
  • Definieren Sie die Suchkriterien für die Personenzuordnung an der Domäne.

Hinweis:

Für die Synchronisation gilt:

  • Die automatische Personenzuordnung wirkt, wenn Benutzerkonten neu angelegt oder aktualisiert werden.

Außerhalb der Synchronisation gilt:

  • Die automatische Personenzuordnung wirkt, wenn Benutzerkonten neu angelegt werden.

Hinweis: Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten Personen erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für die Domäne bekannt, werden die Benutzerkonten mit den Personen verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten sind somit im Zustand "Linked" (verbunden).

Um die Benutzerkonten über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.
  2. Weisen Sie der Domäne eine Kontendefinition zu.
  3. Weisen Sie den Benutzerkonten im Zustand "Linked" (verbunden) die Kontendefinition und den Automatisierungsgrad zu.
    1. Wählen Sie die Kategorie Active Directory | Benutzerkonten | Verbunden aber nicht konfiguriert | <Domäne>.

      - ODER -

      Wählen Sie die Kategorie Active Directory | Kontakte | Verbunden aber nicht konfiguriert | <Domäne>.

    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.

Ausführliche Informationen zur automatischen Personenzuordnung finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

Die Kriterien für die Personenzuordnung werden an der Domänedefiniert. Dabei legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person dem Benutzerkonto zugeordnet werden kann. Die Suchkriterien können Sie durch Formatdefinitionen weiter einschränken. Das zusammengestellte Suchkriterium wird in XML-Notation in die Spalte "Suchkriterien für die automatische Personenzuordnung" (AccountToPersonMatchingRule) der Tabelle ADSDomain geschrieben.

Suchkriterien werden bei der automatischen Zuordnung von Personen zu Benutzerkonten ausgewertet. Darüber hinaus können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen.

Hinweis: Bei der Zuordnung der Personen zu Benutzerkonten anhand der Suchkriterien erhalten die Benutzerkonten den Standardautomatisierungsgrad der Kontendefinition, die am ZielsystemClosed des Benutzerkontos eingetragen ist. Abhängig davon, wie das Verhalten des verwendeten Automatisierungsgrades definiert ist, können Eigenschaften der Benutzerkonten angepasst werden.

Für administrative Benutzerkonten wird empfohlen, die Zuordnung nicht anhand der Suchkriterien vorzunehmen. Ordnen Sie Personen zu administrativen Benutzerkonten über die Aufgabe Stammdaten bearbeiten am jeweiligen Benutzerkonto zu.

Hinweis: Der One Identity Manager liefert ein Standardmapping für die Personenzuordnung. Führen Sie die folgenden Schritte nur aus, wenn Sie das Standardmapping unternehmensspezifisch anpassen möchten.

Um Kriterien für die Personenzuordnung festzulegen

  1. Wählen Sie die Kategorie Active Directory | Domänen.
  2. Wählen Sie in der Ergebnisliste die Domäne.
  3. Wählen Sie die Aufgabe Suchkriterien für die Personenzuordnung definieren.
  4. Legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person mit dem Benutzerkonto verbunden wird.
    Tabelle 54: Standardsuchkriterien für Benutzerkonten und Kontakte
    Anwenden auf Spalte an Person Spalte am Benutzerkonto /Kontakt
    Active Directory Benutzerkonten Zentrales Benutzerkonto (CentralAccount) Anmeldename (pre Win2000)(SAMAccountName)
    Active Directory Kontakte Zentrales Benutzerkonto (CentralAccount) Bezeichnung (Cn)
  5. Speichern Sie die Änderungen.
Direkte Zuordnung von Personen an Benutzerkonten anhand einer Vorschlagsliste

Im Bereich "Zuordnungen" können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen. Die Benutzerkonten sind dafür in verschiedenen Ansichten zusammengestellt.

Tabelle 55: Ansichten zur manuellen Zuordnung
Ansicht Beschreibung
Vorgeschlagene Zuordnungen Die Ansicht listet alle Benutzerkonten auf, denen der One Identity Manager eine Person zuordnen kann. Dazu werden die Personen angezeigt, die durch die Suchkriterien ermittelt und zugeordnet werden können.
Zugeordnete Benutzerkonten Die Ansicht listet alle Benutzerkonten auf, denen eine Person zugeordnet ist.
Ohne Personenzuordnung Die Ansicht listet alle Benutzerkonten auf, denen keine Person zugeordnet ist und für die über die Suchkriterien keine passende Person ermittelt werden kann.

TIPP: Mit Maus-Doppelklick auf einen Eintrag in den Ansichten werden das Benutzerkonto und die Person geöffnet und Sie können die Stammdaten einsehen.

Um die Suchkriterien auf die Benutzerkonten anzuwenden

  • Klicken Sie Neu laden.

    Für alle Benutzerkonten im Zielsystem werden die möglichen Zuordnungen anhand der Suchkriterien ermittelt. Die drei Ansichten werden aktualisiert.

Um Personen direkt über die Vorschlagsliste zuzuordnen

  1. Klicken Sie Vorgeschlagene Zuordnungen.
    1. Klicken Sie Auswahl für alle Benutzerkonten, denen die vorgeschlagene Person zugeordnet werden soll. Eine Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte zuweisen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die per Suchkriterium ermittelten Personen zugeordnet.

    – ODER –

  2. Klicken Sie Ohne Personenzuordnung.
    1. Klicken Sie Person auswählen... für das Benutzerkonto, dem eine Person zugeordnet werden soll. Wählen Sie eine Person aus der Auswahlliste.
    2. Klicken Sie Auswahl für alle Benutzerkonten, denen die ausgewählten Personen zugeordnet werden sollen. Eine Mehrfachauswahl ist möglich.
    3. Klicken Sie Ausgewählte zuweisen.
    4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die Personen zugeordnet, die in der Spalte "Person" angezeigt werden.

Um Zuordnungen zu entfernen

  1. Klicken Sie Zugeordnete Benutzerkonten.
    1. Klicken Sie Auswahl für alle Benutzerkonten, deren Personenzuordnung entfernt werden soll. Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte entfernen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Von den ausgewählten Benutzerkonten werden die zugeordneten Personen entfernt.

Ausführliche Informationen zur Definition der Suchkriterien finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten

Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten

Tabelle 56: Konfigurationsparameter für Aktualisierung von Personen
Konfigurationsparameter Bedeutung

TargetSystem\ADS\PersonUpdate

Der Konfigurationsparameter legt fest, ob Personen bei Änderung ihrer Benutzerkonten aktualisiert werden. Aktivieren Sie diesen Konfigurationsparameter, um eine fortlaufende Aktualisierung von Personenobjekten aus verbundenen Benutzerkonten zu erreichen.

Im One Identity Manager werden Änderungen der Personeneigenschaften an die verbundenen Benutzerkonten weitergereicht und anschließend in das Active Directory provisioniert. Unter Umständen kann es notwendig sein, Änderungen von Benutzerkonten im Active Directory auf die Personeneigenschaften im One Identity Manager weiterzureichen.

Beispiel

Während des Testbetriebs werden die Benutzerkonten aus dem Active Directory in den One Identity Manager nur eingelesen und Personen erzeugt. Die Verwaltung der Benutzerkonten (Erstellen, Ändern und Löschen) über den One Identity Manager soll erst zu einem späteren Zeitpunkt in Betrieb genommen werden. Während des Testbetriebs werden die Benutzerkonten weiterhin im Active Directory geändert, was zu Abweichungen der Benutzerkonteneigenschaften und Personeneigenschaften führen kann. Aus diesem Grund sollen vorübergehend die durch eine erneute SynchronisationClosed eingelesenen Änderungen von Benutzerkonten an die bereits erzeugten Personen publiziert werden. Damit führt die Inbetriebnahme der Benutzerkontenverwaltung über den One Identity Manager nicht zu Datenverlusten.

Um Personen bei Änderungen von Benutzerkonten zu aktualisieren

  • Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\ADS\PersonUpdate".

Während der Synchronisation werden die Änderungen der Benutzerkonten in den One Identity Manager eingelesen. Durch anschließende Skript- und Prozessverarbeitung werden diese Änderungen an die verbundenen Personen weitergereicht.

HINWEIS: Die Aktualisierung der Personen bei Änderungen von Benutzerkonten erfolgt nur für Benutzerkonten, die den Automatisierungsgrad „unmanaged“ besitzen und mit einer Person verbunden sind.

HINWEIS: Es wird nur die Person aktualisiert, die aus dem geänderten Benutzerkonto erzeugt wurde. Die Datenquelle, aus der eine Person erzeugt wurde, wird über die Eigenschaft Datenquelle Import der Person angezeigt. Sind der Person weitere Benutzerkonten zugeordnet, dann führen Änderungen dieser Benutzerkonten nicht zur Aktualisierung der Person.

Das MappingClosed von Benutzerkontoeigenschaften auf Personeneigenschaften erfolgt über das Skript ADS_PersonUpdate_ADSAccount. Das Mapping von Kontakteigenschaften auf Personeneigenschaften erfolgt über das Skript ADS_PersonUpdate_ADSContact . Um das Mapping einfacher anzupassen, sind die Skripte als überschreibbar definiert.

Für unternehmensspezifische Anpassungen, erzeugen Sie eine Kopie des jeweiligen Skriptes und beginnen Sie den Skriptcode folgendermaßen:

Public Overrides Function ADS_PersonUpdate_ADSAccount(ByVal UID_Account As String,OldAccountDN As String, ProcID As String)

Damit wird das Skript neu definiert und überschreibt das originale Skript. Eine Anpassung der Prozesse ist in diesem Fall nicht erforderlich.

Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen

Tabelle 57: Konfigurationsparameter für automatische Erzeugung von Abteilungen und Standorten
Konfigurationsparameter Bedeutung

TargetSystem\ADS\AutoCreateDepartment

Der Konfigurationsparameter legt fest, ob beim Synchronisieren oder Ändern von Benutzerkonten automatisch Abteilungen erzeugt werden.

TargetSystem\ADS\AutoCreateLocality

Der Konfigurationsparameter legt fest, ob beim Synchronisieren oder Ändern von Benutzerkonten automatisch Standorte erzeugt werden.

Anhand der Abteilungsinformationen oder Ortsinformationen der Benutzerkonten können neue Abteilungen und Standorte im One Identity Manager erzeugt werden. Zusätzlich werden die Abteilungen und Standorte den Personen der Benutzerkonten als primäre Abteilung und primärer Standort zugeordnet. Bei entsprechender Konfiguration des One Identity Manager können die Personen über diese Zuordnungen ihre Unternehmensressourcen erhalten.

Voraussetzung für den Einsatz dieses Verfahrens

Personen müssen beim Anlegen und Ändern von Benutzerkonten automatisch erzeugt werden. Mindestens einer der folgenden Konfigurationsparameter muss aktiviert sein und das entsprechende Verfahren eingerichtet sein.

Tabelle 58: Konfigurationsparameter für automatische Personenzuordnung
Konfigurationsparameter Wirkung bei Aktivierung

TargetSystem\ADS\PersonAutoDefault

Anhand des angegebenen Modus erfolgt die automatische Personenzuordnung für Benutzerkonten, die außerhalb der SynchronisationClosed in der Datenbank angelegt werden.

TargetSystem\ADS\PersonAutoFullsync

Anhand des angegebenen Modus erfolgt die automatische Personenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem\ADS\PersonUpdate

Es erfolgt eine fortlaufende Aktualisierung von Personenobjekten aus verbundenen Benutzerkonten.

Um dieses Verfahren zu nutzen

  • Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\ADS\AutoCreateDepartment", um Abteilungen aus den Benutzerkonteninformationen zu erzeugen.
  • Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\ADS\AutoCreateLocality", um Standorte aus den Benutzerkonteninformationen zu erzeugen.
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating