Chat now with support
Chat with Support

Identity Manager 8.1.5 - Administrationshandbuch für Active Roles Integration

Interaktion mit Active Roles Richtlinien

Bei der Definition von Bildungsregeln im One Identity Manager sollten Sie die im Active Roles definierte Richtlinien beachten. Werte, die der One Identity Manager generiert, werden ohne Prüfung auf Einhaltung der Active Roles Richtlinien an den Active Roles Konnektor übergeben. Verstoßen die übergebenen Werte gegen die Active Roles Richtlinien, wird der gesamte Prozess fehlschlagen. Um dies zu vermeiden, sollten Sie die One Identity Manager Bildungsregeln an die Active Roles anpassen.

Informationen zu Active Roles Richtlinien entnehmen Sie Ihrer One Identity Active Roles Dokumentation.

Verwalten der Active Directory Objekte

Im One Identity Manager können Sie organisatorische Einheiten in einer hierarchischen Containerstruktur einrichten. Organisatorische Einheiten (Geschäftsstellen oder Abteilungen) werden dazu genutzt, Objekte des Active Directory wie Benutzerkonten und Gruppen logisch zu organisieren und somit die Verwaltung der Objekte zu erleichtern.

HINWEIS: Nachfolgend wird auf Besonderheiten bei der Verwaltung von Active Directory Objekten über Active Roles eingegangen. Eine umfassende Dokumentation zur Verwaltung einer Active Directory-Umgebung mit dem One Identity Manager finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Detaillierte Informationen zum Thema

Active Directory Gruppen automatisch in den IT Shop aufnehmen

Tabelle 7: Konfigurationsparameter für die automatische Aufnahme von Gruppen in den IT Shop
Konfigurationsparameter Beschreibung

QER | ITShop | GroupAutoPublish

Präprozessorrelevanter Konfigurationsparameter zur automatischen Übernahme von Gruppen in den IT Shop. Der Konfigurationsparameter legt fest, ob alle Gruppen der Zielsysteme Active Directory und SharePoint automatisch in den IT Shop übernommen werden. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

QER | ITShop | GroupAutoPublish | ADSGroupExcludeList

Der Konfigurationsparameter enthält eine Auflistung aller Active Directory Gruppen, für die keine automatische Zuordnung zum IT Shop erfolgen soll. Angabe der Namen in einer Pipe (|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Beispiel:

.*Administrator.*|Exchange.*|.*Admins|.*Operators|IIS_IUSRS

TargetSystem | ADS | ARS_SSM

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Überführung der Funktionalität von Active Roles Self-Service Manager in den One Identity ManagerIT Shop. Ist der Parameter aktiviert, sind die Bestandteile verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Mit der One Identity ManagerActive Directory Edition wird die Überführung der Funktionalität von Active Roles Self-Service Manager in den IT Shop des One Identity Manager direkt unterstützt. Wenn Sie die One Identity Manager Edition einsetzen, führen Sie vor der initialen Synchronisation zusätzlich folgende Schritte aus:

Um Gruppen automatisch in den IT Shop aufzunehmen

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | GroupAutoPublish.

  2. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | GroupAutoPublish | ADSGroupExcludeList und legen Sie die Active Directory Gruppen fest, die nicht automatisch in den IT Shop übernommen werden sollen.

  3. Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | ARS_SSM.

  4. Kompilieren Sie die Datenbank.

Die Gruppen werden ab diesem Zeitpunkt automatisch in den IT Shop aufgenommen.

  • Die Synchronisation sorgt dafür, dass die Gruppen in den IT Shop aufgenommen werden. Bei Bedarf können Sie die Synchronisation im Synchronization Editor sofort starten.

  • Gruppen, die im One Identity Manager neu erstellt werden, werden in den IT Shop aufgenommen.

Folgende Schritte werden bei der Aufnahme einer Gruppe in den IT Shop automatisch ausgeführt.

  1. Es wird eine Leistungsposition für die Gruppe ermittelt.

    Für jede Gruppe wird die Leistungsposition geprüft und bei Bedarf angepasst. Die Bezeichnung der Leistungsposition entspricht der Gruppenbezeichnung. Die Leistungsposition wird einer der Standard-Servicekategorien zugeordnet.

    • Für Gruppen mit Leistungsposition wird die Leistungsposition angepasst.

    • Gruppen ohne Leitungsposition erhalten eine neue Leistungsposition.

    • Die Leistungsposition wird abhängig davon, ob die Gruppe im Active Roles Self-Service Manager veröffentlicht ist, aktiviert oder deaktiviert.

  2. Es wird eine Anwendungsrolle für Produkteigner ermittelt und der Leistungsposition zugeordnet. Die Produkteigner können Bestellungen von Mitgliedschaften in diesen Gruppen genehmigen. Standardmäßig wird der Kontomanager einer Gruppe als Produkteigner ermittelt.

    HINWEIS: Die Anwendungsrolle für Produkteigner muss der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner untergeordnet sein.

    • Ist der Kontomanager der Gruppe bereits Mitglied einer Anwendungsrolle für Produkteigner, dann wird diese Anwendungsrolle der Leistungsposition zugewiesen. Alle Mitglieder dieser Anwendungsrolle werden dadurch Produkteigner der Gruppe.

    • Ist der Kontomanager der Gruppe noch kein Mitglied einer Anwendungsrolle für Produkteigner, dann wird eine neue Anwendungsrolle erzeugt. Die Bezeichnung der Anwendungsrolle entspricht der Bezeichnung des Kontomanagers.

      • Handelt es sich beim Kontomanager um ein Benutzerkonto oder einen Kontakt, wird die Person des Benutzerkontos oder des Kontaktes in die Anwendungsrolle aufgenommen.

      • Handelt es sich um eine Gruppe von Kontomanagern, werden die Personen aller Benutzerkonten dieser Gruppe in die Anwendungsrolle aufgenommen.

    • Besitzt die Gruppe keine Kontomanager wird die Standard-Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner | Ohne Eigentümer im AD verwendet.

  3. Die Gruppe wird mit der Option IT Shop gekennzeichnet und dem IT Shop Regal Active Directory Gruppen im Shop Identity & Access Lifecycle zugewiesen.

Anschließend können die Kunden des Shops Gruppenmitgliedschaften über das Web Portal bestellen.

HINWEIS: Wenn eine Gruppe endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.
Verwandte Themen

Bestellen neuer Active Directory Gruppen über das Web Portal

HINWEIS: Bei der Bestellung der Gruppenmitgliedschaft wird in der Standardinstallation der Entscheidungsworkflow "Entscheidung der Bestellungen von Mitgliedschaften in Active Directory Gruppen" wirksam.

Um eine neue Active Directory Gruppe zu bestellen

  • Wählen Sie im Web Portal im Menü Servicekatalog| Bestellung die Servicekategorie "Active Directory Gruppen".
  • Bestellen Sie die Active Directory Gruppe über die Produkte "Anlegen einer Active Directory Verteilerliste" oder "Anlegen einer Active Directory Sicherheitsgruppe".

Bei der Bestellung einer neuen Active Directory Gruppe werden automatisch die folgenden Schritte ausgeführt:

  • Es wird ein Eintrag für die Active Directory Gruppe im One Identity Manager erzeugt.
  • Die Active Directory Gruppe wird mit der Option Gruppe ist im Self-Service Manager veröffentlicht gekennzeichnet.
  • Die Active Directory Gruppe wird mit der Option IT Shop gekennzeichnet.
  • Es wird eine zugehörige Leistungsposition erzeugt. Es wird eine neue Anwendungsrolle erstellt, in welcher der Besteller Mitglied wird. Die Anwendungsrolle wird als Produkteigner der Leistungsposition eingetragen.

    Durch dieses Vorgehen ist der Besteller einer Active Directory Gruppe entscheidungsberechtigt bei der Bestellung von Mitgliedschaften in dieser Active Directory Gruppe.

  • Die Active Directory Gruppe wird im Standardshop "Identity & Access Lifecycle" dem Regal "Active Directory Gruppen" zugewiesen.

Anschließend ist Mitgliedschaft in der Active Directory Gruppe für die Kunden des Shops über das Web Portal bestellbar.

HINWEIS: Wenn eine Active Directory Gruppe endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating