Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Verwalten einer LDAP-Umgebung Einrichten der Synchronisation mit einem LDAP Verzeichnis Basisdaten zur Konfiguration LDAP Domänen LDAP Benutzerkonten LDAP Gruppen LDAP Containerstrukturen LDAP Computer Berichte über LDAP Objekte Anhang: Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Anhang: Standardprojektvorlagen für LDAP Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Synchronisationsprojekt bearbeiten

Synchronisationsprojekt bearbeiten

Synchronisationsprojekte, in denen eine Domäne bereits als BasisobjektClosed verwendet wird, können auch über den Manager geöffnet werden. In diesem Modus können beispielsweise die Konfigurationseinstellungen überprüft oder die Synchronisationsprotokolle eingesehen werden. Der Synchronization EditorClosed wird nicht mit seinem vollen Funktionsumfang gestartet. Verschiedene Funktionen, wie Simulieren oder Ausführen einer SynchronisationClosed, Starten des Zielsystembrowsers und andere, können nicht ausgeführt werden.

Hinweis: Der Manager ist währenddessen für die Bearbeitung gesperrt. Um Objekte im Manager bearbeiten zu können, schließen Sie den Synchronization Editor.

Um ein bestehendes SynchronisationsprojektClosed im Synchronization Editor zu öffnen

  1. Wählen Sie die Kategorie LDAP | Domänen.
  2. Wählen Sie in der Ergebnisliste die Domäne. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  3. Wählen Sie die Aufgabe Synchronisationsprojekt bearbeiten....
Verwandte Themen

LDAP Benutzerkonten

LDAP Benutzerkonten

Mit dem One Identity Manager verwalten Sie die Benutzerkonten einer LDAP-Umgebung. Ein Benutzer kann sich mit seinem Benutzerkonto an der Domäne anmelden und erhält über seine Gruppenmitgliedschaften und Rechte Zugriff auf die Netzwerkressourcen.

Detaillierte Informationen zum Thema

Benutzerkonten mit Personen verbinden

Zentraler Bestandteil des One Identity Manager ist die Abbildung von Personen mit ihren Stammdaten sowie den Berechtigungen, über die sie in verschiedenen Zielsystemen verfügen. Zu diesem Zweck können Informationen über Benutzerkonten und Berechtigungen aus den Zielsystemen in die One Identity Manager Datenbank eingelesen und mit den Personen verbunden werden. Für jede Person kann damit ein Überblick über ihre Berechtigungen in allen angebundenen Zielsystemen gewonnen werden. Der One Identity Manager bietet die Möglichkeit Benutzerkonten und ihre Berechtigungen zu verwalten. Änderungen können in die Zielsysteme provisioniert werden. Die Personen werden so entsprechend ihrer Funktion mit den benötigten Berechtigungen in den angebundenen Zielsystemen versorgt. Regelmäßige Synchronisationsprozesse halten die Daten zwischen den Zielsystemen und der One Identity Manager Datenbank konsistent.

Da die Anforderungen von Unternehmen zu Unternehmen unterschiedlich sind, bietet der One Identity Manager verschiedene Verfahren zur Versorgung einer Person mit den benötigten Benutzerkonten an. Der One Identity Manager unterstützt die folgenden Vorgehensweisen, um Personen und ihre Benutzerkonten zu verknüpfen:

  • Personen und Benutzerkonten können manuell erfasst und einander zugeordnet werden.
  • Personen erhalten ihre Benutzerkonten automatisch über Kontendefinitionen. Hat eine Person noch kein Benutzerkonto in einer LDAP Domäne, wird durch die Zuweisung der Kontendefinition an eine Person über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

    Wenn Sie Benutzerkonten über Kontendefinitionen verwalten, können Sie das Verhalten von Benutzerkonten beim Deaktivieren oder Löschen von Personen festlegen.

    Hinweis: Sollen Personen ihre Benutzerkonten über Kontendefinitionen erhalten, müssen die Personen ein zentrales Benutzerkonto besitzen und über die Zuordnung zu einer primären Abteilung, einem primären Standort oder einer primären Kostenstelle ihre IT Betriebsdaten erhalten.
  • Beim Einfügen eines Benutzerkontos wird automatisch eine vorhandene Person zugeordnet oder im Bedarfsfall eine neue Person erstellt. Dabei werden die Personenstammdaten anhand vorhandener Benutzerkontenstammdaten erzeugt. Dieser Mechanismus kann eingesetzt werden, wenn eine neues Benutzerkonto manuell oder durch eine SynchronisationClosed erstellt wird. Dieses Vorgehen ist jedoch nicht das Standardverfahren für den One Identity Manager. Für die automatische Personenzuordnung definieren Sie Kriterien, anhand derer die Personen ermittelt werden sollen.
Verwandte Themen

Unterstützte Typen von Benutzerkonten

Unterstützte Typen von Benutzerkonten

Im One Identity Manager können unterschiedliche Typen von Benutzerkonten wie beispielsweise Standardbenutzerkonten, administrative Benutzerkonten oder Dienstkonten abgebildet werden.

Zur Abbildung der verschiedenen Benutzerkontentypen werden die folgenden Eigenschaften verwendet.

  • Identität (Spalte IdentityType)

    Die Identität beschreibt den Typ des Benutzerkontos.

    Tabelle 30: Identitäten von Benutzerkonten
    Identität Beschreibung Wert der Spalte "IdentityType"
    Primäre Identität Standardbenutzerkonto einer Person. Primary
    Organisatorische Identität Sekundäres Benutzerkonto, welches für unterschiedlichen Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen. Organizational
    Persönliche Administratoridentität Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird. Admin
    Zusatzidentität Benutzerkonto, das beispielsweise zu Trainingszwecken genutzt wird. Sponsored
    Gruppenidentität Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird. Shared
    Dienstidentität Dienstkonto. Service
  • Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount)

    Mit dieser Option werden Benutzerkonten mit besonderen privilegierten Berechtigungen gekennzeichnet. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Standardbenutzerkonten werden nicht mit dieser Option gekennzeichnet.

Standardbenutzerkonten

In der Regel erhält jede Person ein Standardbenutzerkonto, das die Berechtigungen besitzt, die für die tägliche Arbeit benötigt werden. Die Benutzerkonten haben eine Verbindung zur Person. Über eine Kontendefinition und deren Automatisierungsgrade kann die Auswirkung der Verbindung und der Umfang der vererbten Eigenschaften der Person an die Benutzerkonten konfiguriert werden.

Um Standardbenutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition und weisen Sie die Automatisierungsgrade "Unmanaged" und "Full managed" zu.
  2. Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.
  3. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, beispielsweise ob der Container für ein Benutzerkonto über die Abteilung, die Kostenstelle, den Standort oder die Geschäftsrolle einer Person gebildet wird, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom ZielsystemClosed. Für Standardbenutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsGroupAccount den Standardwert "1" und aktivieren Sie die Option Immer Standardwert verwenden.
    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IdentityType den Standardwert "Primary" und aktivieren Sie die Option Immer Standardwert verwenden.
  4. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem. Wählen Sie unter Wirksam für das konkrete Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  5. Weisen Sie die Kontendefinition an die Personen zu.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

Administrative Benutzerkonten

Für bestimmte administrative Aufgaben, ist der Einsatz administrativer Benutzerkonten notwendig. Administrative Benutzerkonten werden in der Regel vom Zielsystem vorgegeben und haben feste Bezeichnungen und Anmeldenamen, wie beispielsweise "Administrator".

Administrative Benutzerkonten werden durch die SynchronisationClosed in den One Identity Manager eingelesen. Um administrativen Benutzerkonten einen Verantwortlichen zuzuweisen, weisen Sie dem Benutzerkonto im One Identity Manager eine Person zu.

Hinweis: Administrative Benutzerkonten können automatisch als privilegierte Benutzerkonten gekennzeichnet werden. Aktivieren Sie dazu im Designer den Zeitplan "Ausgewählte Benutzerkonten als privilegiert kennzeichnen".

Privilegierte Benutzerkonten

Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (IsPrivilegedAccount) gekennzeichnet.

Hinweis: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ "Union") definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.

Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.
  2. Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert "Nur initial". In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.
  3. Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.
  4. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, beispielsweise ob der Container für ein Benutzerkonto über die Abteilung, die Kostenstelle, den Standort oder die Geschäftsrolle einer Person gebildet wird, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert "1" und aktivieren Sie die Option Immer Standardwert verwenden.
    • Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.
    • Um zu verhindern, das privilegierte Benutzerkonten Gruppen des Standardbenutzers erben, definieren Sie eine Abbildungsvorschrift für die Spalte IsGroupAccount mit dem Standardwert "0" und aktivieren Sie die Option Immer Standardwert verwenden.
  5. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  6. Weisen Sie die Kontendefinition direkt an die Personen zu, die mit privilegierten Benutzerkonten arbeiten sollen.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

Hinweis: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einen definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach denen Anmeldenamen gebildet werden.

Um ein Präfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\LDAP\Accounts\PrivilegedAccount\UserID_Prefix" . Um ein Postfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\LDAP\Accounts\PrivilegedAccount\UserID_Postfix" .

Diese Konfigurationsparameter werden in der Standardinstallation ausgewertet, wenn Sie ein Benutzerkonto, mit der Eigenschaft Privilegiertes Benutzerkonto (IsPrivilegedAccount) kennzeichnen. Die Anmeldenamen der Benutzerkonten werden entsprechend der Bildungsregeln umbenannt. Dies erfolgt auch, wenn die Benutzerkonten über den Zeitplan "Ausgewählte Benutzerkonten als privilegiert kennzeichnen" als privilegiert gekennzeichnet werden.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating