Chat now with support
Chat with Support

We are currently experiencing a OneLogin Outage within the US region, please consult https://www.onelogin.com/status for further details.

Identity Manager 8.1.4 - Administrationshandbuch für Systemrollen

Beispiel für eine Systemrollenhierarchie

Folgende Tabellen zeigen, wie Zuweisungen an Systemrollen und die Systemrollenhierarchie in der One Identity Manager-Datenbank abgebildet werden.

Tabelle 8: Systemrollen: Zuweisungen (Tabelle ESetHasEntitlement)
Systemrolle (UID_ESet) Zuweisung Systemrolle (Entitlement) Herkunft (XOrigin)
System role A System role A1 1
System role A System role A2 1
System role A System role A11 2
System role A System role A12 2
System role A1 System role A11 1
System role A1 System role A12 1
System role A1 System entitlement 1
System role A2 Software 1
System role A11 Active Directory group 1
System role A12 SAP role 1
System role B Resource 1
Tabelle 9: Systemrollenhierarchie (Tabelle ESetCollection)

Systemrolle (UID_ESet)

Untergeordnete Systemrolle (UID_ESetChild)

System role A System role A
System role A System role A1
System role A System role A2
System role A System role A11
System role A System role A12
System role A1 System role A1
System role A1 System role A11
System role A1 System role A12
System role A11 System role A11
System role A12 System role A12
System role A2 System role A2
System role B System role B

Beispiele für Vererbungswege

Abbildung 2: Vererbung einer Active Directory Gruppe über eine direkt zugewiesene Systemrolle

Abbildung 3: Vererbung von Software über eine IT Shop-Bestellung

Abbildung 4: Vererbung einer Ressource über eine indirekt zugewiesene Systemrolle

Wirkung von Ausschlussdefinitionen

Folgende Abbildungen zeigen, wie sich der Ausschluss einer Systemrolle in der Vererbungsberechnung auswirkt. Auch ausgeschlossene Systemrollen können an Personen zugewiesen werden. Über die Spalte XIsInEffect wird gekennzeichnet, ob diese Zuweisung wirksam ist. Die Zuweisung einer ausgeschlossenen Systemrolle führt zu einem Eintrag mit XIsInEffect = 0, wenn gleichzeitig die andere Systemrolle aus der Ausschlussdefinition zugewiesen ist.

Tabelle 10: Ausgeschlossene Systemrollen (Tabelle ESetExcludesESet)
Systemrolle (UID_ESet) Ausgeschlossene Systemrolle (UID_ESetExcluded)
System role A12 System role A11
System role B System role B1
System role B System role A2
Tabelle 11: Systemrollen: Vererbung (Tabelle ESetHasEntitlement)
Systemrolle (UID_ESet) Zuweisung Systemrolle (Entitlement) Zuweisung wirksam (XIsInEffect)
System role A System role A1 1
System role A System role A2 1
System role A System role A11 0
System role A System role A12 1
System role A1 System role A11 0
System role A1 System role A12 1
System role A2 Software 1
System role A11 Active Directory group 1
System role A12 SAP role 1
System role B Resource R1 1
System role B1 Resource R2 1

Abbildung 5: Vererbung über direkt zugewiesene Systemrollen

Abbildung 6: Vererbung über eine IT Shop-Bestellung

Besonderheiten bei der Vererbung über hierarchische Rollen

Tabelle 12: Konfigurationsparameter für die Berechnung von Zuweisungen an hierarchische Rollen
Konfigurationsparameter Wirkung bei Aktivierung

QER\Structures\Inherite\NoESetSplitting

Angabe, ob die Bestandteile einer Systemrolle bereits an der hierarchischen Rolle aufgelöst werden oder nicht. Bei Aktivierung werden die Systemrollen erst am Ziel der Vererbung in ihre einzelnen Bestandteile zerlegt.

Wenn der Konfigurationsparameter aktiviert ist, werden Systemrollen, die an hierarchische Rollen zugewiesen sind, bei der Vererbungsberechnung nicht aufgelöst. Das heißt, die Zuweisungen von Unternehmensressourcen an hierarchische Rollen werden nicht in die entsprechenden Zuweisungstabellen (<BaseTree>Has...) geschrieben. Erst bei der Vererbungsberechnung für Personen werden die Systemrollen aufgelöst, deren Zuweisungen wirksam sind (PersonHasESet.XIsIneffect = 1).

Der Konfigurationsparameter ist standardmäßig aktiviert.

Abbildung 7: Vererbung über indirekt zugewiesene Systemrollen bei aktiviertem Konfigurationsparameter

Abbildung 8: Vererbung über unterschiedliche hierarchische Rollen bei aktiviertem Konfigurationsparameter

Wenn der Konfigurationsparameter nicht aktiviert ist, werden bei der Vererbungsberechnung für die hierarchischen Rollen die Systemrollen aufgelöst, deren Zuweisungen wirksam sind (BaseTreeHasESet.XIsIneffect = 1). Wenn die sich ausschließenden Systemrollen an unterschiedliche hierarchische Rollen zugewiesen sind, sind beide Zuweisungen wirksam. Damit sind auch die daraus resultierenden Zuweisungen der Unternehmensressourcen an die hierarchischen Rollen wirksam. Ist eine Person in beiden hierarchischen Rollen Mitglied, werden dadurch auch die Unternehmensressourcen der ausgeschlossenen Systemrolle an diese Person vererbt.

Abbildung 9: Vererbung über unterschiedliche hierarchische Rollen bei deaktiviertem Konfigurationsparameter

Wenn die sich ausschließenden Systemrollen an dieselbe hierarchische Rolle zugewiesen sind, wirkt die Ausschlussdefinition bereits bei der Berechnung von BaseTreeHasESet.

Abbildung 10: Vererbung über dieselbe hierarchische Rolle bei deaktiviertem Konfigurationsparameter

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating