Systemrollen können auf folgenden Wegen an Personen und Arbeitsplätze zugewiesen werden:
- Direktzuweisung
- IT Shop-Bestellung
- Vererbung über hierarchische Rollen
- Vererbung über dynamische Rollen
Die Zuweisungen an Systemrollen werden in der Tabelle ESetHasEntitlement abgebildet. Die Zuweisungen von Systemrollen an hierarchische Rollen werden in der Tabelle BaseTreeHasESet abgebildet.
Eine Person kann Systemrollen direkt erhalten. Weiterhin erbt eine Person alle (auch vererbte) Systemrollen aller hierarchischen Rollen, in denen sie Mitglied ist (Tabelle PersonInBaseTree) sowie die Systemrollen aller hierarchischen Rollen, die über Fremdschlüssel-Beziehungen referenziert werden (Tabelle Person, Spalte UID_<BaseTree>). Die direkten und indirekten Zuweisungen der Systemrollen an Personen werden in der Tabelle PersonHasESet abgebildet. - Dieses Verhalten gilt analog für die Zuweisung von Systemrollen an Arbeitsplätze.
Eine Person (ein Arbeitsplatz, eine hierarchische Rolle) erbt alles, was der zugewiesenen Systemrolle zugewiesen ist. Untergeordnete Systemrollen werden dabei aufgelöst. Voraussetzung ist, dass die einzelne Unternehmensressource tatsächlich vererbt werden kann.
- Damit eine Zielsystemberechtigung vererbt werden kann, muss die Person ein Benutzerkonto in diesem Zielsystem besitzen.
Ausführliche Informationen zur Bearbeitung von Rollenklassen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul und im One Identity Manager Administrationshandbuch für Geschäftsrollen.
Detaillierte Informationen zum Thema
Durch die Zuweisung von Systemrollen an Personen, Arbeitsplätze oder hierarchische Rollen kann es vorkommen, dass eine Person verschiedene Unternehmensressourcen erhält, die in dieser Kombination nicht zugewiesen sein dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Systemrollen bekannt. Dabei legen Sie für zwei Systemrollen fest, welche der beiden Systemrollen wirksam sein soll, wenn beide zugewiesen sind. Über die unwirksame Systemrolle werden keine Unternehmensressourcen vererbt.
Voraussetzung
Die Zuweisung von Personen, Arbeitsplätzen und Unternehmensressourcen an eine ausgeschlossene Systemrolle ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist und die Unternehmensressourcen vererbt werden.
HINWEIS:
-
Ein wechselseitiger Ausschluss zweier Systemrollen kann nicht definiert werden. Das heißt, die Festlegung "Systemrolle A schließt Systemrolle B aus" UND "Systemrolle B schließt Systemrolle A aus" ist nicht zulässig.
-
Für eine Systemrolle muss jede auszuschließende Systemrolle einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
Die Wirksamkeit der Zuweisungen wird in den Tabellen PersonHasESet, BaseTreeHasESet und WorkdeskHasESet über die Spalte XIsInEffect abgebildet.
HINWEIS: Wenn eine Unternehmensressource, die einer ausgeschlossenen Systemrolle zugewiesen ist, selbst direkt oder indirekt an eine Person oder einen Arbeitsplatz zugewiesen ist, dann wirkt die Ausschlussdefinition auf diese Unternehmensressource nicht. Die Ausschlussdefinition wirkt nur auf die Systemrollen.
Beispiel für die Wirksamkeit von Systemrollen
-
Die Systemrolle "Marketing" enthält alle Applikationen und Berechtigungen zum Auslösen von Bestellungen.
-
Die Systemrolle "Finanzen" enthält alle Applikationen und Berechtigungen zum Anweisen von Zahlungen.
-
Die Systemrolle "Controlling" enthält alle Applikationen und Berechtigungen zum Prüfen von Rechnungen.
Szenario:
Clara Harris wird die Systemrolle "Marketing" direkt zugewiesen. Die Systemrolle "Finanzen" und die Systemrolle "Controlling" erhält sie über eine IT Shop-Bestellung. Ohne Ausschlussdefinition erhält Clara Harris alle Systemrollen und die damit verbundenen Berechtigungen.
Durch geeignete Maßnahmen soll verhindert werden, dass eine Person, die Rechnungen zur Zahlung anweisen darf, auch Bestellungen auslösen kann. Das heißt, die Systemrollen "Finanzen" und "Marketing" schließen sich aus. Eine Person, die Rechnungen prüft, darf ebenfalls keine Rechnungen zur Zahlung anweisen. Das heißt, die Systemrollen "Finanzen" und "Controlling" schließen sich aus.
Tabelle 2: Festlegen der ausgeschlossenen Systemrollen (Tabelle ESetExcludesESet)
Finanzen |
Marketing |
Controlling |
Finanzen |
Tabelle 3: Wirksame Zuweisungen
Ben King |
Marketing |
Marketing |
Jan Bloggs |
Marketing, Finanzen |
Finanzen |
Clara Harris |
Marketing, Finanzen, Controlling |
Controlling |
Jenny Basset |
Marketing, Controlling |
Marketing, Controlling |
Für Clara Harris ist nur die Zuweisung der Systemrolle "Controlling" wirksam. Wird ihr die Systemrolle "Controlling" zu einem späteren Zeitpunkt entzogen, dann wird die Zuweisung der Systemrolle "Finanzen" wieder wirksam.
Für Jenny Basset bleiben die Zuweisungen der Systemrollen "Marketing" und "Controlling" erhalten, da zwischen beiden Systemrollen kein Ausschluss definiert wurde. Das heißt, die Person ist berechtigt Bestellungen auszulösen und Rechnungen zu prüfen. Soll auch das verhindert werden, definieren Sie einen weiteren Ausschluss für die Systemrolle "Controlling".
Tabelle 4: Ausgeschlossene Systemrollen und wirksame Zuweisungen
Jenny Basset
|
Marketing |
|
Controlling
|
Controlling |
Finanzen
Marketing |
Detaillierte Informationen zum Thema
Verwandte Themen
Systemrollen können deaktiviert werden, beispielsweise um zeitweilig zu verhindern, dass die enthaltenen Unternehmensressourcen an Personen und Arbeitsplätze vererbt werden. Wird eine Systemrolle deaktiviert, berechnet der DBQueue Prozessor die Vererbung der enthaltenen Unternehmensressourcen neu. Bestehende Zuweisungen an Personen und Arbeitsplätze werden entfernt. Die deaktivierte Systemrolle bleibt zugewiesen; die Zuweisung ist aber nicht mehr wirksam (PersonHasESet.XIsInEffect = 0). Sobald die Systemrolle wieder aktiviert wird, wird die Vererbung der Unternehmensressourcen erneut berechnet. Die enthaltenen Unternehmensressourcen werden an Personen und Arbeitsplätze zugewiesen.
Eine deaktivierte Systemrolle kann nicht im Web Portal bestellt werden. Sie kann aber direkt an Personen, Arbeitsplätze, hierarchische und dynamische Rollen und an IT Shop Regale zugewiesen werden.
Verwandte Themen
Systemrollentypen kennzeichnen die Art der Unternehmensressourcen, die in einer Systemrolle zusammengefasst werden. Sie können beispielsweise Systemrollentypen für Systemrollen definieren, in denen verschiedene Zielsystemgruppen zusammengefasst werden sollen.
Um Systemrollentypen zu bearbeiten
-
Wählen Sie die Kategorie Berechtigungen | Basisdaten zur Konfiguration | Systemrollentypen.
-
Wählen Sie in der Ergebnisliste einen Systemrollentyp. Wählen Sie die Aufgabe Stammdaten bearbeiten.
– ODER –
Klicken Sie in der Ergebnisliste .
-
Erfassen Sie eine Bezeichnung und eine Beschreibung für den Systemrollentyp.
- Speichern Sie die Änderungen.