Mit dem One Identity Manager werden die Objekte einer IBM Notes-Umgebung wie Benutzer, Gruppen, Mail-In-Datenbanken, Server, Richtlinien und Zertifikate verwaltet. Durch die Definition von Notes Domänen im One Identity Manager ist die Administration mehrerer produktiver IBM Notes-Umgebungen parallel mit einer One Identity Manager-Datenbank möglich. Notes Benutzer und Personendokumente werden im One Identity Manager als Benutzerkonten verwaltet.
Im One Identity Manager werden die Personen eines Unternehmens mit den benötigten Benutzerkonten versorgt. Dabei können unterschiedliche Mechanismen für die Verbindung der Personen mit ihren Notes Benutzerkonten genutzt werden. Ebenso können die Benutzerkonten getrennt von Personen verwaltet und somit administrative Benutzerkonten eingerichtet werden.
Bei der Zertifizierung neuer Benutzer müssen eine Reihe benutzerspezifischer Dateien generiert werden, die dem Benutzer für die Arbeit mit IBM Notes zur Verfügung stehen müssen. Beim Anlegen eines Benutzers durch den IBM Notes Konnektor werden die Benutzer-ID-Datei zur Authentifizierung, die Postfachdatei sowie das persönliche Adressbuch des Benutzers erzeugt.
Neben Benutzerkonten werden Gruppen und Mail-In-Datenbanken über den One Identity Manager verwaltet. Gruppen werden eingesetzt, um den Benutzern die benötigten Zugriffsberechtigungen zur Verfügung zu stellen oder werden als Mailverteilerliste genutzt. Über gemeinsam genutzte Mail-In-Datenbanken können die Benutzer Nachrichten versenden oder empfangen. Über die Vergabe von Rechten können die Benutzer auf diese Mail-In-Datenbanken zugreifen. Beim Anlegen einer Mail-In-Datenbank über den One Identity Manager wird die benötigte Postfachdatei erzeugt.
Serverdokumente, Zertifikate, Richtlinien und Schablonen für Postfachdateien werden lediglich in die One Identity Manager-Datenbank eingelesen, damit sie beim Einrichten von Benutzerkonten und Gruppen referenziert werden können. Für Serverdokumente können im One Identity Manager Zugriffslisten definiert werden, um festzulegen, wer für verschiedene Zwecke Zugriff auf einen Server hat.
Im One Identity Manager wird der Sichtbarkeitsbereich einer produktiven IBM Notes-Umgebung als Notes Domäne abgebildet. Für die Synchronisation benötigt der One Identity Manager Zugriff auf das Domino-Verzeichnis dieser IBM Notes-Umgebung.
Innerhalb der One Identity Manager-Umgebung wird ein Server definiert, der alle administrativen Aufgaben, die IBM Notes-Umgebung betreffend, ausführt. Dieser Server wird im Folgenden als Gateway Server bezeichnet. Der Gateway Server übernimmt die Funktion des Synchronisationsservers. Er ist selbst kein produktiver Domino-Server. Auf dem Gateway Server werden ein IBM Notes Client, der One Identity Manager Service und der IBM Notes Konnektor installiert.
Vom Gateway Server werden alle Aktionen des IBM Notes Konnektors ausgeführt. Bei der Ausführung der Aktionen im Zielsystem kommuniziert der Gateway Server mit einem Domino-Server der produktiven Umgebung. Dieser Domino-Server ist ein ausgewählter Server mit guter Netzwerkanbindung zum Gateway Server. Da der IBM Notes Konnektor Zugriff auf das Domino-Verzeichnis benötigt, nutzen Sie dafür vorzugsweise einen Verzeichnisserver.
Für die Synchronisation stellen Sie eine ID-Datei zum Zugriff auf die produktive IBM Notes-Umgebung mit ausreichenden administrativen Rechten zur Verfügung. Sofern nicht mit einem Certification-Authority-Prozess (CA-Prozess) gearbeitet werden soll, muss eine Zertifizierer-ID-Datei bereitgestellt werden. Beide Dateien müssen auf dem Gateway Server verfügbar sein.
Der Gateway Server führt über den One Identity Manager Service Aktionen wie Zertifizierungen, Anlegen, Ändern und Löschen von Dokumenten im Domino-Verzeichnis aus. Außerdem können über diesen Weg Datenbanken für Benutzer, Postfachdateien oder Mail-In-Datenbanken auf den Domino-Servern angelegt werden. Der One Identity Manager Service stellt einen IBM Notes-Client-Kontext unter Verwendung der IBM Domino COM-Library her und verarbeitet darin alle notwendigen Funktionen zum Datenaustausch mit dem Domino-Server (Zugriff auf Domino-Objekte, Ausführen von Notes-Agenten, Erzeugen von administrativen Prozessen (AdminP), Fehlerbehandlung).
Abbildung 1: Kommunikation des IBM Notes Konnektors mit der IBM Notes-Umgebung
Die Objekte einer IBM Notes-Umgebung werden in der One Identity Manager-Datenbank folgendermaßen abgebildet:
Tabelle 1: Abbildung von Objekttypen einer IBM Notes-Umgebung im One Identity Manager
| Domino-Server |
Notes Server |
| Domino-Domäne |
Keine direkte Abbildung. |
| |
Notes Domäne
Eigenschaft von Notes Objekten, um die Objekte verschiedenen IBM Notes-Umgebungen zuzuordnen. |
| Benutzer |
Notes Benutzerkonto |
| Gruppe |
Notes Gruppe |
| Mail-In-Datenbank |
Notes Mail-In-Datenbank |
| Notes Zertifikat |
Notes Zertifikat |
| Schablone |
Notes Schablone |
| Richtlinie |
Notes Richtlinie |
In die Einrichtung und Verwaltung einer IBM Notes-Umgebung sind folgende Benutzer eingebunden.
Tabelle 2: Benutzer
| Zielsystemadministratoren |
Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.
-
Legen die Zielsystemverantwortlichen fest.
-
Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.
-
Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.
-
Berechtigen weitere Personen als Zielsystemadministratoren.
-
Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme. |
| Zielsystemverantwortliche |
Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | IBM Notes oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Übernehmen die administrativen Aufgaben für das Zielsystem.
-
Erzeugen, ändern oder löschen die Zielsystemobjekte, wie beispielsweise Benutzerkonten oder Gruppen.
-
Bearbeiten Kennwortrichtlinien für das Zielsystem.
-
Bereiten Gruppen zur Aufnahme in den IT Shop vor.
-
Können Personen anlegen, die eine andere Identität haben als den Identitätstyp Primäre Identität.
-
Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.
-
Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.
-
Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen. |
| One Identity Manager Administratoren |
-
Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne.
-
Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien. |
| Administratoren für den IT Shop |
Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
| Administratoren für Organisationen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
| Administratoren für Geschäftsrollen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Der One Identity Manager unterstützt die Synchronisation mit IBM Notes-Umgebungen in den folgenden Versionen:
- IBM Domino Server Version 8, 9 und 10
- HCL Domino Server Version 11
- IBM Notes Client Version 8.5.3 oder 10.0
- HCL Notes Client Version 11.0.1
Um die Objekte einer IBM Notes-Umgebung initial in die One Identity Manager-Datenbank einzulesen
- Stellen Sie in der IBM Notes-Umgebung einen Benutzer für die Synchronisation mit ausreichenden Berechtigungen bereit.
- Die One Identity Manager Bestandteile für die Verwaltung von IBM Notes-Umgebungen sind verfügbar, wenn der Konfigurationsparameter "TargetSystem\NDO" aktiviert ist.
- Installieren und konfigurieren Sie den Gateway Server.
- Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
- Wenn durch den IBM Notes Konnektor Benutzerkonten in der IBM Notes-Umgebung registriert werden sollen, passen Sie die dafür benötigten Zertifikate im One Identity Manager an. Geben Sie den Pfad zur ID-Datei des Zertifizierers oder den Namen der CA-Datenbank an.
Detaillierte Informationen zum Thema
