Folgende Tabellen zeigen, wie Zuweisungen an Systemrollen und die Systemrollenhierarchie in der One Identity Manager-Datenbank abgebildet werden.
Tabelle 8: Systemrollen: Zuweisungen (Tabelle ESetHasEntitlement)
System role A |
System role A1 |
1 |
System role A |
System role A2 |
1 |
System role A |
System role A11 |
2 |
System role A |
System role A12 |
2 |
System role A1 |
System role A11 |
1 |
System role A1 |
System role A12 |
1 |
System role A1 |
System entitlement |
1 |
System role A2 |
Software |
1 |
System role A11 |
Active Directory group |
1 |
System role A12 |
SAP role |
1 |
System role B |
Resource |
1 |
Tabelle 9: Systemrollenhierarchie (Tabelle ESetCollection)
System role A |
System role A |
System role A |
System role A1 |
System role A |
System role A2 |
System role A |
System role A11 |
System role A |
System role A12 |
System role A1 |
System role A1 |
System role A1 |
System role A11 |
System role A1 |
System role A12 |
System role A11 |
System role A11 |
System role A12 |
System role A12 |
System role A2 |
System role A2 |
System role B |
System role B |
Abbildung 2: Vererbung einer Active Directory Gruppe über eine direkt zugewiesene Systemrolle
Abbildung 3: Vererbung von Software über eine IT Shop-Bestellung
Abbildung 4: Vererbung einer Ressource über eine indirekt zugewiesene Systemrolle
Folgende Abbildungen zeigen, wie sich der Ausschluss einer Systemrolle in der Vererbungsberechnung auswirkt. Auch ausgeschlossene Systemrollen können an Personen zugewiesen werden. Über die Spalte XIsInEffect wird gekennzeichnet, ob diese Zuweisung wirksam ist. Die Zuweisung einer ausgeschlossenen Systemrolle führt zu einem Eintrag mit XIsInEffect = 0, wenn gleichzeitig die andere Systemrolle aus der Ausschlussdefinition zugewiesen ist.
Tabelle 10: Ausgeschlossene Systemrollen (Tabelle ESetExcludesESet)
System role A12 |
System role A11 |
System role B |
System role B1 |
System role B |
System role A2 |
Tabelle 11: Systemrollen: Vererbung (Tabelle ESetHasEntitlement)
System role A |
System role A1 |
1 |
System role A |
System role A2 |
1 |
System role A |
System role A11 |
0 |
System role A |
System role A12 |
1 |
System role A1 |
System role A11 |
0 |
System role A1 |
System role A12 |
1 |
System role A2 |
Software |
1 |
System role A11 |
Active Directory group |
1 |
System role A12 |
SAP role |
1 |
System role B |
Resource R1 |
1 |
System role B1 |
Resource R2 |
1 |
Abbildung 5: Vererbung über direkt zugewiesene Systemrollen
Abbildung 6: Vererbung über eine IT Shop-Bestellung
Tabelle 12: Konfigurationsparameter für die Berechnung von Zuweisungen an hierarchische Rollen
QER\Structures\Inherite\NoESetSplitting |
Angabe, ob die Bestandteile einer Systemrolle bereits an der hierarchischen Rolle aufgelöst werden oder nicht. Bei Aktivierung werden die Systemrollen erst am Ziel der Vererbung in ihre einzelnen Bestandteile zerlegt. |
Wenn der Konfigurationsparameter aktiviert ist, werden Systemrollen, die an hierarchische Rollen zugewiesen sind, bei der Vererbungsberechnung nicht aufgelöst. Das heißt, die Zuweisungen von Unternehmensressourcen an hierarchische Rollen werden nicht in die entsprechenden Zuweisungstabellen (<BaseTree>Has...) geschrieben. Erst bei der Vererbungsberechnung für Personen werden die Systemrollen aufgelöst, deren Zuweisungen wirksam sind (PersonHasESet.XIsIneffect = 1).
Der Konfigurationsparameter ist standardmäßig aktiviert.
Abbildung 7: Vererbung über indirekt zugewiesene Systemrollen bei aktiviertem Konfigurationsparameter
Abbildung 8: Vererbung über unterschiedliche hierarchische Rollen bei aktiviertem Konfigurationsparameter
Wenn der Konfigurationsparameter nicht aktiviert ist, werden bei der Vererbungsberechnung für die hierarchischen Rollen die Systemrollen aufgelöst, deren Zuweisungen wirksam sind (BaseTreeHasESet.XIsIneffect = 1). Wenn die sich ausschließenden Systemrollen an unterschiedliche hierarchische Rollen zugewiesen sind, sind beide Zuweisungen wirksam. Damit sind auch die daraus resultierenden Zuweisungen der Unternehmensressourcen an die hierarchischen Rollen wirksam. Ist eine Person in beiden hierarchischen Rollen Mitglied, werden dadurch auch die Unternehmensressourcen der ausgeschlossenen Systemrolle an diese Person vererbt.
Abbildung 9: Vererbung über unterschiedliche hierarchische Rollen bei deaktiviertem Konfigurationsparameter
Wenn die sich ausschließenden Systemrollen an dieselbe hierarchische Rolle zugewiesen sind, wirkt die Ausschlussdefinition bereits bei der Berechnung von BaseTreeHasESet.
Abbildung 10: Vererbung über dieselbe hierarchische Rolle bei deaktiviertem Konfigurationsparameter