Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer IBM Notes-Umgebung

Verwalten einer IBM Notes-Umgebung Einrichten der Synchronisation mit einer IBM Notes-Umgebung Basisdaten zur Konfiguration Notes Domänen Notes Zertifikate Notes Schablonen Notes Richtlinien Notes Benutzerkonten Notes Gruppen Mail-In-Datenbanken Notes Server Nutzung von AdminP-Aufträgen zur Verarbeitung von IBM Notes Prozessen Berichte über Notes Domänen Anhang: Konfigurationsparameter für die Synchronisation mit einer Notes Domäne Anhang: Standardprojektvorlage für IBM Notes

Sperrgruppen

Sperrgruppen

Tabelle 55: Konfigurationsparameter für die Einrichtung von Sperrgruppen
Konfigurationsparameter Wirkung bei Aktivierung
TargetSystem\NDO\DenyAccessGroups Beim Sperren von Notes Benutzerkonten werden Sperrgruppen verwendet.
TargetSystem\NDO\DenyAccessGroups\Memberlimit Der Konfigurationsparameter enthält die Maximalanzahl von Mitgliedern pro Sperrgruppe. Bei Erreichen dieses Limits wird automatisch eine weitere Sperrgruppe erzeugt.
TargetSystem\NDO\DenyAccessGroups\Prefix Der Konfigurationsparameter enthält das Präfix, welches zur Bildung des Gruppennamens einer Sperrgruppe verwendet wird.

Ein Benutzerkonto gilt in einer IBM Notes-Umgebung dann als gesperrt, wenn der Benutzer keine Möglichkeit mehr hat, sich mit diesem Benutzerkonto an Servern der Domäne anzumelden. Dadurch verliert er auch den Zugriff auf seine Postfachdatei. Der Zugriff auf einen Server kann unterbunden werden, indem das Benutzerkonto auf dem entsprechenden Serverdokument den Berechtigungstyp "Not Access Server" erhält. In Umgebungen mit mehreren Servern ist dies sehr aufwändig, da ein zu sperrendes Benutzerkonto auf jedem Serverdokument diesen Berechtigungstyp erhalten muss.

Aus diesem Grund werden Sperrgruppen verwendet. Eine solche Sperrgruppe erhält zunächst auf jedem Serverdokument den Berechtigungstyp "Not Access Server". Ein Benutzer, der gesperrt werden soll, wird nur noch Mitglied der Sperrgruppe und hat somit automatisch keinen Zugriff mehr auf die Server der Domäne.

Sobald ein Benutzerkonto im One Identity Manager gesperrt wird, wird eine Sperrgruppe ermittelt, in der das Benutzerkonto Mitglied werden soll. Ist eine solche Sperrgruppe nicht vorhanden, wird vom One Identity Manager Service eine Gruppe mit dem Gruppentyp "Nur Negativliste" angelegt und automatisch mit dem Berechtigungstyp "Not Access Server" auf den einzelnen Servern versehen. Der Gruppenname besteht dabei aus einem Präfix und einem fortlaufenden Index (beispielsweise "viDenyAccess0001"). Des Weiteren wird diese Gruppe mit der Option Sperrgruppe gekennzeichnet.

Um das Präfix für Sperrgruppen zu ändern

  1. Bearbeiten Sie im Designer den Wert des Konfigurationsparameters "TargetSystem\NDO\DenyAccessGroups\Prefix".
  2. Erfassen Sie das Präfix, das beim Erstellen von Sperrgruppen verwendet werden soll.
  3. Speichern Sie die Änderungen.

Es ist außerdem möglich, die maximale Anzahl von Benutzerkonten in einer Sperrgruppe festzulegen. Dies ist in Umgebungen mit einer sehr großen Menge an Benutzerkonten notwendig, um die maximale Anzahl der Benutzernamen in einer Gruppe nicht zu überschreiten. Wird dieses Limit erreicht, wird eine neue Sperrgruppe mit einem um den Wert "1" erhöhten Index angelegt und ebenfalls mit dem Berechtigungstyp "Not Access Server" auf sämtlichen Servern der Domäne eingetragen.

Um die zulässige Anzahl von Benutzerkonten in einer Sperrgruppe zu ändern

  • Bearbeiten Sie im Designer den Wert des Konfigurationsparameters "TargetSystem\NDO\DenyAccessGroups\Memberlimit".

TIPP: Die Sperrgruppen werden durch das Skript VI_Notes_GetOrCreateRestrictGroup ermittelt und angelegt. Sind in einer IBM Notes-Umgebung bereits Sperrgruppen vorhanden, werden diese wie normale Gruppen behandelt.

Um diese Gruppen für Sperrprozesse im One Identity Manager zu verwenden

  1. Aktivieren Sie für diese Gruppen die Option Sperrgruppe.
  2. Passen Sie bei Bedarf das Präfix im Konfigurationsparameter "TargetSystem\NDO\DenyAccessGroups\Prefix" an.
  3. Passen Sie das Skript VI_Notes_GetOrCreateRestrictGroup entsprechend Ihren Erfordernissen an.

Dynamische Gruppen

Dynamische Gruppen

Seit der IBM Domino Version 8.5 ist es möglich, Benutzerkonten über bestimmte Auswahlkriterien an Gruppen zuzuweisen. Ein Kriterium ist beispielsweise der Mailserver eines Benutzerkontos. Benutzerkonten können darüber hinaus explizit aus einer Gruppe ausgeschlossen oder zusätzlich aufgenommen werden. Eine Gruppe wird im One Identity Manager als dynamische Gruppe abgebildet, wenn in der Eigenschaft "Dynamische Mitglieder einlesen" die Methode "Home server" ausgewählt ist (Spalte AutoPopulateInput = '1'). An diese Gruppen können keine Mitglieder direkt zugewiesen werden.

Dynamische Gruppen sind von der Vererbung über hierarchische Rollen ausgeschlossen. Damit können Systemrollen, Geschäftsrollen und Organisationen nicht an dynamische Gruppen zugewiesen werden. Es kann kein Vererbungsausschluss festgelegt werden. Dynamische Gruppen können nicht im IT Shop bestellt werden.

Erweiterungsgruppen

Erweiterungsgruppen

IBM Notes legt sogenannte Erweiterungsgruppen an, wenn die maximale Anzahl der Mitglieder einer dynamischen Gruppe erreicht ist. Diese Erweiterungsgruppen werden durch die SynchronisationClosed in die One Identity Manager Datenbank eingelesen, können jedoch nicht bearbeitet werden. Die Verbindung zur dynamischen Gruppe wird über die Eigenschaft Übergeordnete Notes Gruppe (Spalte UID_NotesGroupParent) hergestellt. Ausschluss- und Einschlusslisten werden ausschließlich an der übergeordneten dynamischen Gruppe gepflegt. Erweiterungsgruppen werden nur im Überblicksformular angezeigt.

Mitgliedschaften in dynamischen Gruppen

Mitgliedschaften in dynamischen Gruppen

An dynamische Gruppen können keine Mitglieder direkt zugewiesen werden. Die Mitglieder werden über die Homeserver ermittelt, welche der Gruppe zugewiesen sind. Alle Benutzerkonten, denen einer dieser Server als Mailserver zugeordnet ist, sind automatisch Mitglied der dynamischen Gruppe. Zusätzlich können die Mitgliedschaften über eine Ausschluss- und eine Einschlussliste bearbeitet werden. Dabei werden Benutzerkonten, die sowohl der Ausschluss- als auch der Einschlussliste zugewiesen sind, nicht Mitglied der dynamischen Gruppe. Es können sowohl Benutzerkonten als auch Gruppen in die Ausschluss- und die Einschlussliste aufgenommen werden.

Bei der Berechnung der effektiven Mitglieder einer dynamischen Gruppe ermittelt IBM Notes alle Benutzerkonten,

  • denen einer der Homeserver als Mailserver zugeordnet ist,
  • die einer Einschlussliste direkt zugewiesen sind,
  • die als Mitglied einer Notes Gruppe einer Einschlussliste zugewiesen sind,
  • die einer Ausschlussliste zugewiesen sind,
  • die als Mitglied einer Notes Gruppe einer Ausschlussliste zugewiesen sind.

Die effektiven Mitgliedschaften in dynamischen Gruppen (Tabelle NDOUserInGroup) werden nicht im One Identity Manager gepflegt, sondern nur durch die SynchronisationClosed in die One Identity Manager eingelesen. Die Ausschluss- und die Einschlussliste können im Manager bearbeitet werden. Änderungen werden sofort in das Zielsystem provisioniert. Dort wird die Mitgliederliste neu berechnet. Nach erneuter Synchronisation sind die Änderungen an den effektiven Mitgliedschaften auch im One Identity Manager sichtbar und können beispielsweise bei Complianceprüfungen berücksichtigt werden.

Wenn Sie die Identity Audit Funktionalität des One Identity Manager nutzen und in den Complianceregeln auch Mitgliedschaften in dynamischen Notes Gruppen prüfen, beachten Sie folgenden Hinweis:

Hinweis: Änderungen an der Einschluss- oder der Ausschlussliste im Manager können nicht sofort bei Complianceprüfungen berücksichtigt werden, da die effektiven Mitgliedschaften in den dynamischen Gruppen erst nach erneuter Synchronisation aktualisiert sind. Passen Sie den Zeitplan für die Synchronisation Ihrer IBM Notes-Umgebung so an, dass Änderungen an den effektiven Mitgliedschaften zeitnah in die One Identity Manager-Datenbank übertragen werden.

Ausführliche Informationen zur Bearbeitung von Zeitplänen für die Synchronisation finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating