Damit SharePoint Online Benutzerkonten Berechtigungen auf die einzelnen Websites erhalten, weisen Sie den Gruppen SharePoint Online Rollen zu. SharePoint Online Rollen und Gruppen müssen zur selben Websitesammlung gehören.
HINWEIS:SharePoint Online Rollen, die auf Berechtigungsstufen verweisen, bei denen die Option Versteckt aktiviert ist, können nicht an Gruppen zugewiesen werden.
Um Gruppen an eine SharePoint Online Rolle zuzuweisen
-
Wählen Sie im Manager die Kategorie SharePoint Online | Rollen.
-
Wählen Sie in der Ergebnisliste die Rolle.
-
Wählen Sie die Aufgabe Gruppen zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Gruppen entfernen.
Um eine Zuweisung zu entfernen
- Wählen Sie die Gruppe und doppelklicken Sie .
- Speichern Sie die Änderungen.
Verwandte Themen
Tabelle 15: Konfigurationsparameter für die bedingte Vererbung
QER | Structures | Inherite | GroupExclusion |
Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Wirksamkeit von Gruppenmitgliedschaften. Ist der Parameter aktiviert, können aufgrund von Ausschlussdefinitionen die Gruppenmitgliedschaften reduziert werden. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank. |
Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Person zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.
Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.
HINWEIS:
- Ein wechselseitiger Ausschluss zweier Gruppen kann nicht definiert werden. Das heißt, die Festlegung "Gruppe A schließt Gruppe B aus" UND "Gruppe B schließt Gruppe A aus" ist nicht zulässig.
- Für eine Gruppe muss jede auszuschließende Gruppe einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
Die Wirksamkeit der Zuweisungen wird in den Tabellen O3SUserInO3SGroup und O3SBaseTreeHasGroupüber die Spalte XIsInEffect abgebildet.
Beispiel für die Wirksamkeit von Gruppenmitgliedschaften
- Gruppe A wird über die Abteilung "Marketing", Gruppe B über die Abteilung "Finanzen" und Gruppe C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.
Clara Harris hat ein Benutzerkonto in dieser Websitesammlung. Sie gehört primär der Abteilung "Marketing" an. Sekundär sind ihr die Geschäftsrolle "Kontrollgruppe" und die Abteilung "Finanzen" zugewiesen. Ohne Ausschlussdefinition erhält das Benutzerkonto alle Berechtigungen der Gruppen A, B und C.
Durch geeignete Maßnahmen soll verhindert werden, dass eine Person gleichzeitig die Berechtigungen der Gruppe A und der Gruppe B erhält. Das heißt, die Gruppen A und B schließen sich aus. Ein Benutzer, der Mitglied der Gruppe C ist, darf ebenfalls nicht gleichzeitig Mitglied der Gruppe B sein. Das heißt, die Gruppen B und C schließen sich aus.
Tabelle 16: Festlegen der ausgeschlossenen Gruppen (Tabelle O3SGroupExclusion)
Gruppe A |
|
Gruppe B |
Gruppe A |
Gruppe C |
Gruppe B |
Tabelle 17: Wirksame Zuweisungen
Ben King |
Marketing |
Gruppe A |
Jan Bloggs |
Marketing, Finanzen |
Gruppe B |
Clara Harris |
Marketing, Finanzen, Kontrollgruppe |
Gruppe C |
Jenny Basset |
Marketing, Kontrollgruppe |
Gruppe A, Gruppe C |
Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.
Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.
Tabelle 18: Ausgeschlossene Gruppen und wirksame Zuweisungen
Jenny Basset
|
Marketing |
Gruppe A |
|
Gruppe C
|
Kontrollgruppe |
Gruppe C |
Gruppe B
Gruppe A |
Voraussetzungen
Um Gruppen auszuschließen
-
Wählen Sie im Manager die Kategorie SharePoint Online | Gruppen.
- Wählen Sie in der Ergebnisliste eine Gruppe.
-
Wählen Sie die Aufgabe Gruppen ausschließen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.
- Speichern Sie die Änderungen.
Im One Identity Manager können Gruppen selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Die Kategorien sind frei wählbar und werden über eine Abbildungsvorschrift festgelegt. Jede der Kategorien erhält innerhalb dieser Abbildungsvorschrift eine bestimmte Position. Die Abbildungsvorschrift enthält zwei Tabellen; die Benutzerkontentabelle und die Gruppentabelle. In der Benutzerkontentabelle legen Sie Ihre Kategorien für die zielsystemabhängigen Benutzerkonten fest. In der Gruppentabelle geben Sie Ihre Kategorien für die zielsystemabhängigen Gruppen an. Jede Tabelle enthält die Kategoriepositionen Position 1 bis Position 31.
Jedes Benutzerkonto kann einer oder mehreren Kategorien zugeordnet werden. Jede Gruppe kann ebenfalls einer oder mehreren Kategorien zugeteilt werden. Stimmt mindestens eine der Kategoriepositionen zwischen Benutzerkonto und zugewiesener Gruppe überein, wird die Gruppe an das Benutzerkonto vererbt. Ist die Gruppe oder das Benutzerkonto nicht in Kategorien eingestuft, dann wird die Gruppe ebenfalls an das Benutzerkonto vererbt.
HINWEIS: Die Vererbung über Kategorien wird nur bei der indirekten Zuweisung von Gruppen über hierarchische Rollen berücksichtigt. Bei der direkten Zuweisung von Gruppen an Benutzerkonten werden die Kategorien nicht berücksichtigt.
Tabelle 19: Beispiele für Kategorien
1 |
Standardbenutzer |
Standardberechtigung |
2 |
Systembenutzer |
Systembenutzerberechtigung |
3 |
Systemadministrator |
Systemadministratorberechtigung |
Abbildung 2: Beispiel für die Vererbung über Kategorien
Um die Vererbung über Kategorien zu nutzen
- Definieren Sie an der Websitesammlung die Kategorien.
- Weisen Sie die Kategorien den Benutzerkonten über ihre Stammdaten zu.
- Weisen Sie die Kategorien den Gruppen über ihre Stammdaten zu.
Verwandte Themen
Für einige Objekte, wie beispielsweise Berechtigungen, Complianceregeln oder Rollen wird der Bericht Übersicht aller Zuweisungen angezeigt. Der Bericht ermittelt alle Rollen, wie beispielsweise Abteilungen, Kostenstellen, Standorte, Geschäftsrollen und IT Shop Strukturen, in denen sich Personen befinden, die das gewählte Basisobjekt besitzen. Dabei werden sowohl direkte als auch indirekte Zuweisungen des Basisobjektes berücksichtigt.
Beispiele
- Wird der Bericht für eine Ressource erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Ressource besitzen.
- Wird der Bericht für eine Gruppe oder andere Systemberechtigung erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Gruppe oder Systemberechtigung besitzen.
- Wird der Bericht für eine Complianceregel erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Complianceregel verletzen.
- Wird der Bericht für eine Abteilung erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Abteilung ebenfalls Mitglied sind.
- Wird der Bericht für eine Geschäftsrolle erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Geschäftsrolle ebenfalls Mitglied sind.
Um detaillierte Informationen über Zuweisungen anzuzeigen
Abbildung 3: Symbolleiste des Berichts Übersicht aller Zuweisungen
Tabelle 20: Bedeutung der Symbole in der Symbolleiste des Berichts
|
Anzeigen der Legende mit der Bedeutung der Steuerelemente des Berichts. |
|
Speichern der aktuellen Ansicht des Berichts als Bild. |
|
Auswählen der Rollenklasse, über die der Bericht erstellt werden soll. |
|
Anzeige aller Rollen oder Anzeige der betroffenen Rolle. |