Chat now with support
Chat with Support

We are currently experiencing issues on our phone support and are working diligently to restore services. For support, please sign in and create a case or email supportadmin@quest.com for assistance

Identity Manager 8.1.4 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Rechtegruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Konfiguration Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank

Regeln für die Ermittlung der gültigen Berechtigungen für Tabellen und Spalten

Meldet sich ein Systembenutzer am System an, werden anhand seiner Rechtegruppen die effektiv wirksamen Berechtigungen für die Objekte bestimmt. Bei der Ermittlung der gültigen Rechte werden folgende Regeln angewendet:

  • Die Rechte hierarchischer Rechtegruppen werden von oben nach unten vererbt. Das heißt, eine Rechtegruppe erhält alle Rechte ihrer übergeordneten Rechtegruppen.
  • Bei hierarchischer Rechtegruppen wird zuerst die Menge der Objekte ermittelt. Anschließend werden die Spaltenberechtigungen zusammengefasst. Damit ergeben sich unter Umständen mehr effektive Berechtigungen als auf den einzelnen Rechtegruppen definiert sind.
  • Ein Systembenutzer erhält ein Recht, wenn mindestens eine seiner Rechtegruppen das Recht besitzt (direkt oder geerbt).
  • Die einschränkenden Rechtebedingungen aller Rechtegruppen des Systembenutzers werden zusammengefasst und somit eine gültige Bedingung pro Recht zum Anzeigen, Bearbeiten, Einfügen und Löschen eines Objektes ermittelt.
  • Durch das System werden fest definierte Sichtbarkeitsrechte auf den Systemanteil des One Identity Manager-Datenmodells vergeben, die für die Anmeldung eines Systembenutzers an den Administrationswerkzeugen ausreichend sind.
  • Ein Systembenutzer, der nur Leserechte besitzt, erhält unabhängig von weiteren Rechten nur die Sichtbarkeitsrechte auf die Objekte.
  • Werden auf eine Tabelle die Rechte zum Einfügen, Bearbeiten oder Löschen vergeben, werden implizit auch Sichtbarkeitsrechte vergeben.
  • Werden auf eine Spalte die Rechte zum Einfügen oder Bearbeiten vergeben, werden implizit die Sichtbarkeitsrechte vergeben.
  • Werden Rechte auf eine Tabelle vergeben, so werden implizit Sichtbarkeitsrechte auf die Primärschlüsselspalte der Tabelle vergeben.
  • Ist mindestens das Sichtbarkeitsrecht auf eine Fremdschlüsselspalte vergeben, so werden implizit Sichtbarkeitsrechte auf die referenzierte Tabelle, auf die Primärschlüsselspalte und die Spalten, die laut definiertem Anzeigemuster an der referenzierten Tabelle zur Anzeige benötigt werden, vergeben.
  • Spalten, die im definiertem Anzeigemuster an der Tabelle zur Anzeige benötigt werden, erhalten implizit Sichtbarkeitsrechte.
  • Rechte für Datenbanksichten vom Typ Proxy gelten auch für die zugrunde liegenden Tabellen.
  • Für Datenbanksichten vom Typ ReadOnly gelten unabhängig von weiteren Rechten nur die Sichtbarkeitsrechte.
  • Ist eine Tabelle oder Spalte durch Präprozessorbedingungen deaktiviert, werden keine Rechte auf diese Tabellen und Spalten ermittelt; die Tabelle oder Spalte gilt als nicht vorhanden.
  • Ist eine Rechtegruppe durch Präprozessorbedingungen deaktiviert, werden Berechtigungen dieser Rechtegruppe nicht berücksichtigt; die Rechtegruppe gilt als nicht vorhanden.
Beispiel für die Rechtezusammensetzung über Rechtegruppen

Nachfolgendes Beispiel zeigt die Rechtezusammensetzung, wenn der Benutzer in den Rechtegruppen direkt zugeordnet ist und keine hierarchische Verbindung der Rechtegruppen besteht.

Ein Systembenutzer erhält über verschiedene Rechtegruppen die Berechtigungen auf die Tabelle ADSAccount.

Rechtegruppe Sichtbar Bearbeitbar Einfügbar Löschbar
A 1 1 1 1
B 0 0 0 0

Zusätzlich erhält er über diese Rechtegruppen Berechtigungen auf die Tabelle LDAPAccount.

Rechtegruppe Sichtbar Bearbeitbar Einfügbar Löschbar
A 1 0 0 0
B 1 1 1 0

Somit hat der Systembenutzer effektiv folgende Rechte:

Tabelle Sichtbar Bearbeitbar Einfügbar Löschbar
ADSAccount 1 1 1 1
LDAPAccount 1 1 1 0
Beispiel für einschränkende Bedingungen

Ein Systembenutzer erhält über verschiedene Rechtegruppen Sichtbarkeitsrechte auf die Tabelle Person.

Rechtegruppe Bedingung für Sichtbarkeit Sichtbarkeitsrecht auf Spalten
A Lastname
B Lastname like 'B%' Lastname, Firstname, Entrydate
C Lastname like 'Be%' Lastname, Firstname, Gender
D Lastname like 'D%' Lastname

Damit ergeben sich folgende Berechtigungen auf die einzelnen Personenobjekte.

Person.Lastname Sichtbare Spalten
Meier Lastname
Bischof Lastname, Firstname, Entrydate
Beyer Lastname, Firstname, Gender
Dummy Lastname

Bearbeitung von Rechtegruppen

Der One Identity Manager stellt Rechtegruppen mit einer vordefinierten Benutzeroberfläche und speziellen Bearbeitungsrechten auf die Tabellen und Spalten des One Identity Manager Schemas bereit. In einigen wenigen Fällen kann es notwendig sein, eigene kundenspezifische Rechtegruppen zu definieren. Eigene Rechtegruppen benötigen Sie beispielsweise, wenn:

  • die Standardrechtegruppen zu viele Berechtigungen gewähren,
  • ausgewählte Standardrechtegruppen zu einer neuer Rechtegruppe zusammengefasst werden sollen,
  • zusätzliche rollenbasierte Rechtegruppen für die kundenspezifischen Anwendungsrollen benötigt werden,
  • Berechtigungen auf kundenspezifische Anpassungen wie beispielsweise Schemaerweiterungen, Formulare oder Menüstrukturen erforderlich sind.

Bei der Installation der One Identity Manager-Datenbank mit dem Configuration Wizard werden bereits kundenspezifische Rechtegruppen erstellt, die Sie nutzen können.

  • Für die nicht-rollenbasierte Anmeldung werden die Rechtegruppen CCCViewPermissions und CCCEditPermissions erstellt. Administrative Systembenutzer werden automatisch in diese Rechtegruppen aufgenommen.
  • Für die rollenbasierte Anmeldung werden die Rechtegruppen CCCViewRole und CCCEditRole erstellt.

Rechtegruppen werden im Designer in der Kategorie Berechtigungen | Rechtegruppen verwaltet. Sie erhalten hier einen Überblick über die Bearbeitungsrechte und die Bestandteile der Benutzeroberfläche, die den einzelnen Rechtegruppen zugewiesen sind. Zusätzlich werden die Systembenutzer abgebildet, die der Rechtegruppe zugewiesen sind.

Rechtegruppen erstellen und bearbeiten Sie im Designer mit dem Benutzer-& Rechtegruppeneditor. Im Benutzer-& Rechtegruppeneditor werden die Rechtegruppen in ihrer Hierarchie dargestellt. Jede Rechtegruppe wird durch ein Rechtegruppenelement repräsentiert. Das Rechtegruppenelement verfügt über einen Tooltip. Der Inhalt des Tooltips setzt sich aus dem Namen und der Beschreibung der Rechtegruppe zusammen.

Folgende Aufgaben können Sie ausführen:

  • Bearbeiten der Stammdaten einer Rechtegruppe
  • Definieren neuer Abhängigkeiten zwischen Rechtegruppen
  • Kopieren einer Rechtegruppe
  • Erstellen einer neuen Rechtegruppe
Verwandte Themen

Eigenschaften von Rechtegruppen

Tabelle 17: Eigenschaften einer Rechtegruppe
Eigenschaft Beschreibung
Rechtegruppe Name der Rechtegruppe. Kennzeichnen Sie eigene Rechtegruppen mit dem Präfix CCC.
Beschreibung Nähere Beschreibung zur Aufgabe der Rechtegruppe.
Bemerkungen Freitextfeld für zusätzliche Erläuterungen.
Präprozessorbedingung

Rechtegruppen können Sie mit einer Präprozessorbedingung versehen. Damit ist die Rechtegruppe nur wirksam, wenn die Präprozessorbedingung erfüllt ist.

Binäres Muster der Rechtegruppe Das binäre Muster der Rechtegruppe dient zur Berechnung der effektiv wirksamen Systembenutzerrechte. Es wird durch den DBQueue Prozessor vergeben.
Nur für rollenbasierte Anmeldung

Diese Gruppe umfasst Berechtigungen, Formularzuweisungen, Menüeinträge und Programmfunktionen zur rollenbasierten Anmeldung. Die Rechtegruppe kann One Identity Manager Anwendungsrollen zugeordnet werden und wird den dynamisch ermittelten Systembenutzern zugewiesen. Eine direkte Zuweisung an nicht-dynamische Systembenutzer ist nicht zulässig.

Hinweis: Diese Option steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Verwandte Themen

Abhängigkeiten zwischen Rechtegruppen

Über die Abbildung einer hierarchischen Struktur für Rechtegruppen, können Sie erreichen, dass die Berechtigungen und die Bestandteile der Benutzeroberfläche von einer Rechtegruppe an andere Rechtegruppen vererbt werden. Dabei wird innerhalb der Hierarchie von oben nach unten vererbt.

Für die Abhängigkeit von Rechtegruppen gilt:

  • Eine rollenbasierte Rechtegruppe kann von rollenbasierten Rechtegruppen und nicht-rollenbasierten Rechtegruppen erben.
  • Eine nicht-rollenbasierte Rechtegruppe kann von nicht-rollenbasierten Rechtegruppen erben. Eine nicht-rollenbasierte Rechtegruppe darf nicht von rollenbasierten Rechtegruppen erben.

Beispiel

Es sind zwei Rechtegruppen mit folgenden Berechtigungen und Bestandteilen der Benutzeroberfläche definiert.

Rechtegruppe Berechtigungen Benutzeroberfläche
A Sichtbarkeitsrechte Menüstruktur und Formulare
B Bearbeitungsrechte Methodendefinitionen

Rechtegruppe A ist in der Hierarchie oberhalb der Rechtegruppe B angeordnet und vererbt an die Rechtegruppe B. Somit stehen einem Benutzer der Rechtegruppe B die Sichtbarkeitsrechte und die Bearbeitungsrechte sowie die Menüstruktur, die Formulare und die Methodendefinitionen zur Verfügung.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating