Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Verwalten einer LDAP-Umgebung Einrichten der Synchronisation mit einem LDAP Verzeichnis Basisdaten zur Konfiguration LDAP Domänen LDAP Benutzerkonten LDAP Gruppen LDAP Containerstrukturen LDAP Computer Berichte über LDAP Objekte Anhang: Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Anhang: Standardprojektvorlagen für LDAP Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Zuweisen einer Kennwortrichtlinie

Für LDAP ist die Kennwortrichtlinie "LDAP Kennwortrichtlinie" vordefiniert. Diese Kennwortrichtlinie können Sie auf die Kennwörter der LDAP Benutzerkonten (LDAPAccount.UserPassword) einer LDAP Domäne oder eines LDAP Containers anwenden.

Wenn die Kennwortanforderungen der Domänen oder Container unterschiedlich sind, wird empfohlen, je Domäne oder Container eine eigene Kennwortrichtlinie einzurichten.

Wichtig: Wenn Sie nicht mit zielsystemspezifischen Kennwortrichtlinien arbeiten, wirkt die Standardrichtlinie. Stellen Sie in diesem Fall sicher, dass die Kennwortrichtlinie "One Identity Manager Kennwortrichtlinie" nicht gegen die Anforderungen der Zielsysteme verstößt.

Um eine Kennwortrichtlinie neu zuzuweisen

  1. Wählen Sie im Manager die Kategorie LDAP | Basisdaten zur Konfiguration | Kennwortrichtlinien.

  2. Wählen Sie in der Ergebnisliste die Kennwortrichtlinie.
  3. Wählen Sie die Aufgabe Objekte zuweisen.
  4. Klicken Sie im Bereich Zuweisungen die Schaltfläche Hinzufügen und erfassen Sie folgende Daten.

    Tabelle 23: Zuweisen einer Kennwortrichtlinie

    Eigenschaft

    Beschreibung

    Anwenden auf

    Anwendungsbereich der Kennwortrichtlinie.

    Um den Anwendungsbereich festzulegen

    1. Klicken Sie auf die Schaltfläche neben dem Eingabefeld.
    2. Wählen Sie unter Tabelle die Tabelle, die die Kennwortspalte enthält.
    3. Wählen Sie unter Anwenden auf das konkrete ZielsystemClosed.
    4. Klicken Sie OK.

    Kennwortspalte

    Bezeichnung der Kennwortspalte.

    Kennwortrichtlinie

    Bezeichnung der Kennwortrichtlinie, die angewendet werden soll.

  5. Speichern Sie die Änderungen.

Um die Zuweisung einer Kennwortrichtlinie zu ändern

  1. Wählen Sie im Manager die Kategorie LDAP | Basisdaten zur Konfiguration | Kennwortrichtlinien.

  2. Wählen Sie in der Ergebnisliste die Kennwortrichtlinie.
  3. Wählen Sie die Aufgabe Objekte zuweisen.
  4. Wählen Sie im Bereich Zuweisungen die Zuweisung, die Sie ändern möchten.
  5. Wählen Sie in der Auswahlliste Kennwortrichtlinie die neu anzuwendende Kennwortrichtlinie.
  6. Speichern Sie die Änderungen.

Initiales Kennwort für neue LDAP Benutzerkonten

Initiales Kennwort für neue LDAP Benutzerkonten

Tabelle 24: Konfigurationsparameter für die Bildung eines initialen Kennwortes für Benutzerkonten
Konfigurationsparameter Bedeutung
QER\Person\UseCentralPassword

Der Konfigurationsparameter legt fest, ob das zentrale Kennwort einer Person in den Benutzerkonten verwendet werden soll. Das zentrale Kennwort der Person wird automatisch auf die Benutzerkonten der Person in allen erlaubten Zielsystemen abgebildet. Ausgenommen sind privilegierte Benutzerkonten; diese werden nicht aktualisiert.

QER\Person\UseCentralPassword\PermanentStore

Der Konfigurationsparameter steuert die Aufbewahrungszeit der zentralen Kennworte. Ist der Parameter aktiviert, wird das zentrale Kennwort der Person dauerhaft gespeichert. Ist der Parameter nicht aktiviert, wird das zentrale Kennwort nur zum Publizieren an bestehende zielsystemspezifische Benutzerkonten benutzt und anschließend in der One Identity Manager-Datenbank gelöscht.

TargetSystem\LDAP\Accounts\
InitialRandomPassword

Der Konfigurationsparameter legt fest, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

Um das initiale Kennwort für neue LDAP Benutzerkonten zu vergeben, stehen Ihnen verschiedene Möglichkeiten zur Verfügung.

  1. Verwenden Sie das zentrale Kennwort der Person. Das zentrale Kennwort der zugeordneten Person wird auf das Kennwort des Benutzerkontos abgebildet.
    • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\UseCentralPassword".

      Ist der Konfigurationsparameter "QER\Person\UseCentralPassword" aktiviert, wird das zentrale Kennwort der Person automatisch auf die Benutzerkonten einer Person in den einzelnen Zielsystemen abgebildet. Ausgenommen sind privilegierte Benutzerkonten; diese werden nicht aktualisiert.

    • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\UseCentralPassword\PermanentStore" und legen Sie fest, ob das zentrale Kennwort der Personen dauerhaft oder nur bis zum Publizieren in die Zielsysteme in der One Identity Manager-Datenbank gespeichert wird.

    Bei der Bildung des zentralen Kennwortes wird die Kennwortrichtlinie "Kennwortrichtlinie für zentrales Kennwort von Personen" angewendet.

    Wichtig: Stellen Sie sicher, dass die Kennwortrichtlinie "Kennwortrichtlinie für zentrales Kennwort von Personen" nicht gegen die zielsystemspezifischen Anforderungen an Kennwörter verstößt.

  2. Erstellen Sie Benutzerkonten manuell und tragen Sie in den Stammdaten der Benutzerkonten ein Kennwort ein.
  3. Legen Sie ein initiales Kennwort fest, welches beim Erstellen von Benutzerkonten automatisch verwendet wird.
    • Verwenden Sie zielsystemspezifische Kennwortrichtlinien und tragen Sie in den Kennwortrichtlinien ein initiales Kennwort ein.
  4. Vergeben Sie beim Erstellen von Benutzerkonten ein zufällig generiertes initiales Kennwort.

    • Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\LDAP\Accounts\InitialRandomPassword".
    • Verwenden Sie zielsystemspezifische Kennwortrichtlinien und definieren Sie in den Kennwortrichtlinien die Zeichenklassen, die das Kennwort enthalten muss.
    • Legen Sie fest, an welche Person das initiale Kennwort per E-Mail versendet wird.
Verwandte Themen

E-Mail-Benachrichtigungen über Anmeldeinformationen

E-Mail-Benachrichtigungen über Anmeldeinformationen

Tabelle 25: Konfigurationsparameter für Benachrichtigungen über Anmeldeinformationen
Konfigurationsparameter Bedeutung

TargetSystem\LDAP\Accounts\
InitialRandomPassword\SendTo

Der Konfigurationsparameter enthält die Person, die eine E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Person oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird an die im Konfigurationsparameter "TargetSystem\LDAP\DefaultAddress" hinterlegte Adresse versandt.

TargetSystem\LDAP\Accounts\
InitialRandomPassword\SendTo\
MailTemplateAccountName

Der Konfigurationsparameter enthält den Namen der Mailvorlage, welche versendet wird, um Benutzer mit den initialen Anmeldeinformationen (Name des Benutzerkontos) zu versorgen. Es wird die Mailvorlage "Person - Erstellung neues Benutzerkonto" verwendet.

TargetSystem\LDAP\Accounts\
InitialRandomPassword\SendTo\
MailTemplatePassword

Der Konfigurationsparameter enthält den Namen der Mailvorlage, welche versendet wird, um Benutzer mit den initialen Anmeldeinformationen (initiales Kennwort) zu versorgen. Es wird die Mailvorlage "Person - Initiales Kennwort für neues Benutzerkonto" verwendet.

TargetSystem\LDAP\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im ZielsystemClosed.

Die Anmeldeinformationen für neue Benutzerkonten können per E-Mail an eine festgelegte Person gesendet werden. Dabei werden zwei Benachrichtigungen versendet, die den Benutzernamen und das initiale Kennwort enthalten. Zur Erzeugung der Benachrichtigungen werden Mailvorlagen genutzt. In einer Mailvorlage sind die Mailtexte in verschiedenen Sprachen definiert. Somit wird bei Generierung einer E-Mail Benachrichtigung die Sprache des Empfängers berücksichtigt. In der Standardinstallation sind bereits Mailvorlagen enthalten, die Sie zur Konfiguration der Benachrichtigungsverfahren verwenden können.

Um Benachrichtigungen über Anmeldeinformationen zu nutzen

  1. Stellen Sie sicher, dass das E-Mail-Benachrichtungssystem im One Identity Manager konfiguriert ist. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch.
  2. Aktivieren Sie im Designer den Konfigurationsparameter "Common\MailNotification\DefaultSender" und geben Sie die Absenderadresse an, mit der die E-Mail Benachrichtigungen verschickt werden.
  3. Stellen Sie sicher, dass alle Personen eine Standard-E-Mail-Adresse besitzen. An diese E-Mail Adresse werden die Benachrichtigungen versendet. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
  4. Stellen Sie sicher, dass für alle Personen eine Sprachkultur ermittelt werden kann. Nur so erhalten die Personen die E-Mail Benachrichtigungen in ihrer Sprache. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Wenn bei der Neuanlage eines Benutzerkontos ein zufällig generiertes initiales Kennwort vergeben wird, werden die initialen Anmeldeinformationen für dieses Benutzerkonto per E-Mail an eine vorher festgelegt Person gesendet.

Um die initialen Anmeldeinformationen per E-Mail zu versenden

  1. Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\LDAP\Accounts\InitialRandomPassword".
  2. Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\LDAP\Accounts\InitialRandomPassword\SendTo" und erfassen Sie als Wert den Empfänger der Benachrichtigung.
  3. Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\LDAP\Accounts\InitialRandomPassword\SendTo\MailTemplateAccountName".

    Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage "Person - Erstellung neues Benutzerkonto" versendet. Die Benachrichtigung enthält den Namen des Benutzerkontos.

  4. Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\LDAP\Accounts\InitialRandomPassword\SendTo\MailTemplatePassword".

    Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage "Person - Initiales Kennwort für neues Benutzerkonto" versendet. Die Benachrichtigung enthält das initiale Kennwort für das Benutzerkonto.

Hinweis: Um andere als die Standardmailvorlagen für diese Benachrichtigungen zu nutzen, ändern Sie die Werte der Konfigurationsparameter.

Zielsystemverantwortliche

Ausführliche Informationen zum Einsatz und zur Bearbeitung von Anwendungsrollen finden Sie im One Identity Manager Administrationshandbuch für Anwendungsrollen.

Inbetriebnahme der Anwendungsrollen für Zielsystemverantwortliche
  1. Der One Identity Manager Administrator legt Personen als Zielsystemadministratoren fest.
  2. Die Zielsystemadministratoren nehmen die Personen in die Standardanwendungsrolle für die Zielsystemverantwortlichen auf.

    Zielsystemverantwortliche der Standardanwendungsrolle sind berechtigt alle Domänen im One Identity Manager zu bearbeiten.

  3. Zielsystemverantwortliche können innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche berechtigen und bei Bedarf weitere untergeordnete Anwendungsrollen erstellen und einzelnen Domänen zuweisen.
Tabelle 26: Standardanwendungsrolle für Zielsystemverantwortliche
Benutzer Aufgaben

Zielsystemverantwortliche

 

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | LDAP oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das ZielsystemClosed.
  • Erzeugen, ändern oder löschen die Zielsystemobjekte, wie beispielsweise Benutzerkonten oder Gruppen.
  • Bearbeiten Kennwortrichtlinien für das Zielsystem.
  • Bereiten Gruppen zur Aufnahme in den IT Shop vor.
  • Konfigurieren im Synchronization EditorClosed die SynchronisationClosed und definieren das MappingClosed für den Abgleich von Zielsystem und One Identity Manager.
  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.
  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.

Um initial Personen als Zielsystemadministrator festzulegen

  1. Melden Sie sich als One Identity Manager Administrator (Anwendungsrolle Basisrollen | Administratoren) am Manager an.
  2. Wählen Sie die Kategorie One Identity Manager Administration | Zielsysteme | Administratoren.
  3. Wählen Sie die Aufgabe Personen zuweisen.
  4. Weisen Sie die Person zu und speichern Sie die Änderung.

Um initial Personen in die Standardanwendungsrolle für Zielsystemverantwortliche aufzunehmen

  1. Melden Sie sich als Zielsystemadministrator (Anwendungsrolle Zielsysteme | Administratoren) am Manager an.
  2. Wählen Sie die Kategorie One Identity Manager Administration | Zielsysteme | LDAP .
  3. Wählen Sie die Aufgabe Personen zuweisen.
  4. Weisen Sie die Personen zu und speichern Sie die Änderungen.

Um als Zielsystemverantwortlicher weitere Personen als Zielsystemverantwortliche zu berechtigen

  1. Melden Sie sich als Zielsystemverantwortlicher am Manager an.
  2. Wählen Sie in der Kategorie LDAP | Basisdaten zur Konfiguration | Zielsystemverantwortliche die Anwendungsrolle.
  3. Wählen Sie die Aufgabe Personen zuweisen.
  4. Weisen Sie die Personen zu und speichern Sie die Änderungen.

Um Zielsystemverantwortliche für einzelne Domänen festzulegen

  1. Melden Sie sich als Zielsystemverantwortlicher am Manager an.
  2. Wählen Sie die Kategorie LDAP | Domänen.
  3. Wählen Sie in der Ergebnisliste die Domäne.
  4. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  5. Wählen Sie auf dem Tabreiter Allgemein in der Auswahlliste Zielsystemverantwortliche die Anwendungsrolle.

    - ODER -

    Klicken Sie neben der Auswahlliste Zielsystemverantwortliche auf , um eine neue Anwendungsrolle zu erstellen.

    • Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle Zielsysteme | LDAP zu.
    • Klicken Sie Ok, um die neue Anwendungsrolle zu übernehmen.
  6. Speichern Sie die Änderungen.
  7. Weisen Sie der Anwendungsrolle die Personen zu, die berechtigt sind, die Domäne im One Identity Manager zu bearbeiten.

Hinweis: Sie können Zielsystemverantwortliche auch für einzelne Container festlegen. Die Zielsystemverantwortlichen eines Container sind berechtigt, die Objekte dieses Containers zu bearbeiten.
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating