Details zur Vererbung von Systemrollen
Systemrollen können auf folgenden Wegen an Personen und Arbeitsplätze zugewiesen werden:
- Direktzuweisung
- IT Shop-Bestellung
- Vererbung über hierarchische Rollen
- Vererbung über dynamische Rollen
Die Zuweisungen an Systemrollen werden in der Tabelle ESetHasEntitlement abgebildet. Die Zuweisungen von Systemrollen an hierarchische Rollen werden in der Tabelle BaseTreeHasESet abgebildet.
Eine Person kann Systemrollen direkt erhalten. Weiterhin erbt eine Person alle (auch vererbte) Systemrollen aller hierarchischen Rollen, in denen sie Mitglied ist (Tabelle PersonInBaseTree) sowie die Systemrollen aller hierarchischen Rollen, die über Fremdschlüssel-Beziehungen referenziert werden (Tabelle Person, Spalte UID_<BaseTree>). Die direkten und indirekten Zuweisungen der Systemrollen an Personen werden in der Tabelle PersonHasESet abgebildet. - Dieses Verhalten gilt analog für die Zuweisung von Systemrollen an Arbeitsplätze.
Eine Person (ein Arbeitsplatz, eine hierarchische Rolle) erbt alles, was der zugewiesenen Systemrolle zugewiesen ist. Untergeordnete Systemrollen werden dabei aufgelöst. Voraussetzung ist, dass die einzelne Unternehmensressource tatsächlich vererbt werden kann.
- Damit eine Zielsystemberechtigung vererbt werden kann, muss die Person ein Benutzerkonto in diesem Zielsystem besitzen.
Ausführliche Informationen zur Bearbeitung von Rollenklassen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul und im One Identity Manager Administrationshandbuch für Geschäftsrollen.
Detaillierte Informationen zum Thema
Wirksamkeit von Systemrollen
Wirksamkeit von Systemrollen
Durch die Zuweisung von Systemrollen an Personen, Arbeitsplätze oder hierarchische Rollen kann es vorkommen, dass eine Person verschiedene Unternehmensressourcen erhält, die in dieser Kombination nicht zugewiesen sein dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Systemrollen bekannt. Dabei legen Sie für zwei Systemrollen fest, welche der beiden Systemrollen wirksam sein soll, wenn beide zugewiesen sind. Über die unwirksame Systemrolle werden keine Unternehmensressourcen vererbt.
Voraussetzung
- Der Konfigurationsparameter "QER\Structures\ExcludeStructures" ist aktiviert.
Die Zuweisung von Personen, Arbeitsplätzen und Unternehmensressourcen an eine ausgeschlossene Systemrolle ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist und die Unternehmensressourcen vererbt werden.
|
|
Hinweis:
|
Die Wirksamkeit der Zuweisungen wird in den Tabellen PersonHasESet, BaseTreeHasESet und WorkdeskHasESet über die Spalte XIsInEffect abgebildet.
|
|
Hinweis: Wenn eine Unternehmensressource, die einer ausgeschlossenen Systemrolle zugewiesen ist, selbst direkt oder indirekt an eine Person oder einen Arbeitsplatz zugewiesen ist, dann wirkt die Ausschlussdefinition auf diese Unternehmensressource nicht. Die Ausschlussdefinition wirkt nur auf die Systemrollen. |
Beispiel für die Wirksamkeit von Systemrollen
- Die Systemrolle "Marketing" enthält alle Applikationen und Berechtigungen zum Auslösen von Bestellungen.
- Die Systemrolle "Finanzen" enthält alle Applikationen und Berechtigungen zum Anweisen von Zahlungen.
- Die Systemrolle "Controlling" enthält alle Applikationen und Berechtigungen zum Prüfen von Rechnungen.
Szenario:
Clara Harris wird die Systemrolle "Marketing" direkt zugewiesen. Die Systemrolle "Finanzen" und die Systemrolle "Controlling" erhält sie über eine IT Shop-Bestellung. Ohne Ausschlussdefinition erhält Clara Harris alle Systemrollen und die damit verbundenen Berechtigungen.
Durch geeignete Maßnahmen soll verhindert werden, dass eine Person, die Rechnungen zur Zahlung anweisen darf, auch Bestellungen auslösen kann. Das heißt, die Systemrollen "Finanzen" und "Marketing" schließen sich aus. Eine Person, die Rechnungen prüft, darf ebenfalls keine Rechnungen zur Zahlung anweisen. Das heißt, die Systemrollen "Finanzen" und "Controlling" schließen sich aus.
| Wirksame Systemrolle | Ausgeschlossene Systemrolle |
|---|---|
| Finanzen | Marketing |
| Controlling | Finanzen |
| Person | Zugewiesene Systemrolle | Wirksame Systemrolle |
|---|---|---|
| Ben King | Marketing | Marketing |
| Jan Bloggs | Marketing, Finanzen | Finanzen |
| Clara Harris | Marketing, Finanzen, Controlling | Controlling |
| Jenny Basset | Marketing, Controlling | Marketing, Controlling |
Für Clara Harris ist nur die Zuweisung der Systemrolle "Controlling" wirksam. Wird ihr die Systemrolle "Controlling" zu einem späteren Zeitpunkt entzogen, dann wird die Zuweisung der Systemrolle "Finanzen" wieder wirksam.
Für Jenny Basset bleiben die Zuweisungen der Systemrollen "Marketing" und "Controlling" erhalten, da zwischen beiden Systemrollen kein Ausschluss definiert wurde. Das heißt, die Person ist berechtigt Bestellungen auszulösen und Rechnungen zu prüfen. Soll auch das verhindert werden, definieren Sie einen weiteren Ausschluss für die Systemrolle "Controlling".
| Person | Zugewiesene Systemrolle | Ausgeschlossene Systemrolle (UID_ESetExcluded) | Wirksame Systemrolle |
|---|---|---|---|
|
Jenny Basset
|
Marketing |
Controlling
| |
| Controlling | Finanzen
Marketing |
Detaillierte Informationen zum Thema
Verwandte Themen
Systemrollentypen
Systemrollentypen
Systemrollentypen kennzeichnen die Art der Unternehmensressourcen, die in einer Systemrolle zusammengefasst werden. Sie können beispielsweise Systemrollentypen für Systemrollen definieren, in denen verschiedene Zielsystemgruppen zusammengefasst werden sollen.
Um Systemrollentypen zu bearbeiten
- Wählen Sie die Kategorie Berechtigungen | Basisdaten zur Konfiguration | Systemrollentypen.
- Wählen Sie in der Ergebnisliste einen Systemrollentyp aus. Wählen Sie die Aufgabe Stammdaten bearbeiten.
– ODER –
Klicken Sie in der Ergebnisliste
.
- Erfassen Sie eine Bezeichnung und eine Beschreibung für den Systemrollentyp.
- Speichern Sie die Änderungen.
Systemrollen bearbeiten
Systemrollen bearbeiten
Um Systemrollen zu bearbeiten
- Wählen Sie die Kategorie Berechtigungen | Systemrollen.
-
Wählen Sie in der Ergebnisliste eine Ressource aus. Wählen Sie die Aufgabe Stammdaten bearbeiten.
- ODER -
Klicken Sie in der Ergebnisliste
- Bearbeiten Sie die Stammdaten der Systemrolle.
- Speichern Sie die Änderungen.
Für Systemrollen erfassen Sie folgende Stammdaten.
|
Eigenschaft |
Beschreibung | ||
|---|---|---|---|
|
Anzeigename |
Bezeichnung unter der die Systemrolle in den Werkzeugen des One Identity Manager angezeigt werden soll. | ||
|
Systemrolle |
Eindeutige Bezeichnung für die Systemrolle. | ||
|
Interner Produktname |
Zusätzliche interne Bezeichnung für die Systemrolle. | ||
|
Systemrollentyp |
Gibt an, welcher Art Unternehmensressourcen in der Systemrolle zusammengefasst werden. | ||
|
Leistungsposition |
Um eine Systemrolle innerhalb des IT Shops zu verwenden, weisen Sie ihr eine Leistungsposition zu oder legen Sie eine neue Leistungsposition an. Ausführliche Informationen über Leistungspositionen finden Sie im One Identity Manager Administrationshandbuch für IT Shop. | ||
|
Verantwortlicher der Systemrolle |
Sie können eine beliebige Person als Verantwortlichen für die Systemrolle zuordnen. Diese Person kann die Stammdaten der Systemrolle bearbeiten. Sie kann als Attestierer für die Eigenschaften der Systemrolle ermittelt werden. | ||
|
Freigabedatum |
Legen Sie einen Zeitpunkt fest, an dem die Systemrolle aktiviert werden soll. Liegt das Freigabedatum in der Zukunft, wird die Systemrolle als deaktivierte Systemrolle behandelt. Ist das Freigabedatum erreicht wird die Systemrolle aktiviert. Unternehmensressourcen, die der Systemrolle zugewiesen sind, werden an Personen vererbt. Ist das Freigabedatum überschritten oder ist kein Datum eingetragen, wird die Systemrolle als aktivierte Systemrolle behandelt. Die Vererbung der Unternehmensressourcen kann in diesen Fällen über die Option Deaktiviert gesteuert werden.
| ||
|
Risikoindex (berechnet) |
Maximalwert der Risikoindexwerte aller zugeordneten Unternehmensressourcen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter "QER\CalculateRiskIndex" aktiviert ist. Ausführliche Informationen zur Berechnung des Risikoindex finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen. | ||
|
Kommentar |
Freitextfeld für zusätzliche Erläuterungen. | ||
|
Bemerkungen |
Freitextfeld für zusätzliche Erläuterungen. | ||
|
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. | ||
|
Deaktiviert |
Angabe, ob die Unternehmensressourcen, die in der Systemrolle zusammengefasst sind, an die Personen vererbt werden. Ist die Option aktiviert, kann die Systemrolle an Personen zugewiesen werden. Die enthaltenen Unternehmensressourcen werden jedoch nicht vererbt. Ist die Option deaktiviert, werden die Unternehmensressourcen, die der Systemrolle zugewiesen sind, sofort an die Personen vererbt, denen die Systemrolle zugewiesen wird. Wird die Option zu einem späteren Zeitpunkt aktiviert, werden bestehende Zuweisungen entfernt. | ||
|
IT Shop |
Angabe, ob die Systemrolle über den IT Shop bestellbar ist. Die Systemrolle kann über das Web Portal von Ihren Mitarbeitern bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Die Systemrolle kann weiterhin direkt an Personen und hierarchische Rollen zugewiesen werden. Ausführliche Informationen über den IT Shop finden Sie im One Identity Manager Administrationshandbuch für IT Shop. | ||
|
Verwendung im IT Shop |
Angabe, ob die Systemrolle ausschließlich über den IT Shop bestellbar ist. Die Systemrolle kann über das Web Portal von Ihren Mitarbeitern bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Eine direkte Zuweisung der Systemrolle an hierarchische Rollen ist nicht zulässig. | ||
|
Freies Feld Nr. 01 ... Freies Feld Nr. 10 |
Zusätzliche unternehmensspezifische Informationen. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder können Sie mit dem Designer an Ihre Anforderungen anpassen. |