Appliance |
Appliance, zu der das Benutzerkonto gehört. |
Person |
Person, die das Benutzerkonto verwendet. Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Person bereits eingetragen. Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Person aus der Auswahlliste wählen. Wenn Sie die automatische Personenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Person gesucht und in das Benutzerkonto übernommen.
Für ein Benutzerkonto mit einer Identität vom Typ Organisatorische Identität, Persönliche Administratoridentität, Zusatzidentität, Gruppenidentität oder Dienstidentität können Sie eine neue Person erstellen. Klicken Sie dafür neben dem Eingabefeld und erfassen Sie die erforderlichen Personenstammdaten. Die Pflichteingaben sind abhängig vom gewählten Identitätstyp.
HINWEIS: Um mit Identitäten für Benutzerkonten zu arbeiten, benötigen die Personen ebenfalls Identitäten. Benutzerkonten, denen eine Identität zugeordnet ist, können Sie nur mit Personen verbinden, die dieselbe Identität haben. |
Keine Verbindung mit einer Person erforderlich |
Gibt an, ob dem Benutzerkonto absichtlich keine Person zugeordnet ist. Die Option wird automatisch aktiviert, wenn ein Benutzerkonto in der Ausschlussliste für die automatische Personenzuordnung enthalten ist oder eine entsprechende Attestierung erfolgt ist. Sie können die Option manuell setzen. Aktivieren Sie die Option, falls das Benutzerkonto mit keiner Person verbunden werden muss (beispielsweise, wenn mehrere Personen das Benutzerkonto verwenden).
Wenn durch die Attestierung diese Benutzerkonten genehmigt werden, werden diese Benutzerkonten künftig nicht mehr zur Attestierung vorgelegt. Im Web Portal können Benutzerkonten, die nicht mit einer Person verbunden sind, nach verschiedenen Kriterien gefiltert werden. |
Nicht mit einer Person verbunden |
Zeigt an, warum für das Benutzerkonto die Option Keine Verbindung mit einer Person erforderlich aktiviert ist. Mögliche Werte sind:
-
durch Administrator: Die Option wurde manuell durch den Administrator aktiviert.
-
durch Attestierung: Das Benutzerkonto wurde attestiert.
-
durch Ausschlusskriterium: Das Benutzerkonto wird aufgrund eines Ausschlusskriteriums nicht mit einer Person verbunden. Das Benutzerkonto ist beispielsweise in der Ausschlussliste für die automatische Personenzuordnung enthalten (Konfigurationsparameter PersonExcludeList). |
Kontendefinition |
Kontendefinition, über die das Benutzerkonto erstellt wurde.
Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Person und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.
HINWEIS: Die Kontendefinition darf nach dem Speichern des Benutzerkontos nicht geändert werden.
HINWEIS: Über die Aufgabe Entferne Kontendefinition am Benutzerkonto können Sie das Benutzerkonto wieder in den Zustand Linked zurücksetzen. Dabei wird die Kontendefinition vom Benutzerkonto und von der Person entfernt. Das Benutzerkonto bleibt über diese Aufgabe erhalten, wird aber nicht mehr über die Kontendefinition verwaltet. Die Aufgabe entfernt nur Kontendefinitionen, die direkt zugewiesen sind (XOrigin=1). |
Automatisierungsgrad |
Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten. |
Identitätsanbieter |
Quelle, aus der die personenbezogenen Daten des Benutzerkontos stammen. Zulässige Werte sind:
-
Local: Lokales PAM Benutzerkonto. Für dieses Benutzerkonten können Kontaktinformationen erfasst werden.
-
<Verzeichnisname>: Externer Identitätsanbieter. Basisdomäne des jeweiligen Verzeichnisdienstes, beispielsweise Active Directory oder LDAP. Kontaktinformationen werden aus dem Active Directory Benutzerkonto oder dem LDAP Benutzerkonto ermittelt.
Diese Variante ist nur verfügbar, wenn die Active Directory Domäne oder die LDAP Domäne in den One Identity Manager eingelesen ist. |
Identifizierungsobjekt |
Benutzerkonto im Active Directory oder LDAP. |
Authentifizierungsanbieter |
Gibt an, wie sich der Benutzer am Privileged Account Management System authentifiziert. Zulässige Werte sind:
-
Certificate: (Nur für lokale Identitätsanbieter) Die Authentifizierung erfolgt über ein Zertifikat.
-
Local: (Nur für lokale Identitätsanbieter) Die Authentifizierung erfolgt über Benutzername und Kennwort.
-
<Verzeichnisname>: (Nur für externe Identitätsanbieter) Domäne des Identifizierungsobjektes. Die Authentifizierung erfolgt über ein Benutzerkonto des jeweiligen Verzeichnisdienstes, beispielsweise Active Directory Benutzerkonto oder LDAP Benutzerkonto.
Diese Variante ist nur verfügbar, wenn die Active Directory Domäne oder die LDAP Domäne in den One Identity Manager eingelesen ist.
-
<Externer Verbund>: Name des externen Verbundes. Die angegebene E-Mail-Adresse oder der Namensanspruch wird für die Authentifizierung verwendet.
-
<RADIUS Server>: Name des RADIUS-Servers. Die Authentifizierung erfolgt über den Anmeldenamen auf dem RADIUS-Server. |
Benutzername |
Benutzername des PAM Benutzerkontos. |
Anmeldename |
Anmeldename des PAM Benutzerkontos. |
Kennwort |
Kennwort für das Benutzerkonto. Das zentrale Kennwort der zugeordneten Person kann auf das Kennwort des Benutzerkontos abgebildet werden. Ausführliche Informationen zum zentralen Kennwort einer Person finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Wenn Sie ein zufällig generiertes initiales Kennwort für Benutzerkonten verwenden, wird dieses automatisch bei Erstellen eines Benutzerkontos eingetragen.
Das Kennwort wird nach dem Publizieren in das Zielsystem aus der Datenbank gelöscht.
Hinweis: Beim Prüfen eines Benutzerkennwortes werden die Kennwortrichtlinien beachtet. Stellen Sie sicher, dass die Kennwortrichtlinie nicht gegen die Anforderungen des Zielsystems verstößt. |
Bestätigung |
Kennwortwiederholung. |
Kennwort läuft nie ab |
Gibt an, ob ein Kennwort abläuft. Diese Option wird in der Regel für Dienstkonten verwendet. |
Domäne |
Domäne der Benutzerkontos. |
Zertifikatsauthentifizierung erforderlich |
Gibt an, ob der Benutzer sich nur mit einem domänenausgestellten Benutzerzertifikat oder SmartCard anmelden kann. |
Zertifikatsfingerabdruck (SHA-1) |
Eindeutiger Hash-Wert (40 hexadezimale Zeichen) des Zertifikats. |
E-Mail-Adresse oder Namensanspruch |
E-Mail-Adresse oder Namensanspruch des Benutzerkontos im externen Verbund. |
Anzeigename |
Anzeigename des PAM Benutzerkontos. |
Letzte Anmeldung |
Zeitpunkt der letzten Anmeldung am System. |
Zeitzone |
Zeitzone des Benutzers. Die Standardzeitzone ist UTC (Coordinated Universal Time). |
Risikoindex (berechnet) |
Maximalwert der Risikoindexwerte aller zugeordneten Gruppen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen. |
Kategorie |
Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien. |
Identität |
Typ der Identität des Benutzerkontos. Zulässige Werte sind:
-
Primäre Identität: Standardbenutzerkonto einer Person.
-
Organisatorische Identität: Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.
-
Persönliche Administratoridentität: Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird.
-
Zusatzidentität: Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.
-
Gruppenidentität: Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird. Weisen Sie alle Personen zu, die das Benutzerkonto nutzen.
-
Dienstidentität: Dienstkonto. |
Gruppen erbbar |
Gibt an, ob das Benutzerkonto Gruppen über die verbundene Person erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen, in denen die Person Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.
-
Wenn Sie eine Person mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.
-
Wenn eine Person eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Person diese Gruppe nur, wenn die Option aktiviert ist. |
Privilegiertes Benutzerkonto |
Gibt an, ob es sich um ein privilegiertes Benutzerkonto handelt. |
Systemobjekt |
Kennzeichnet den Benutzer als Systembestandteil. |
Benutzerkonto ist deaktiviert |
Gibt an, ob das Benutzerkonto deaktiviert ist. Wird ein Benutzerkonto vorübergehend nicht benötigt, können Sie das Benutzerkonto über die Option zeitweilig deaktivieren. |
Konto gesperrt |
Gibt an, ob das Benutzerkonto gesperrt ist. Abhängig von der Konfiguration wird nach mehrmaliger falscher Kennworteingabe das Benutzerkonto im Privileged Account Management System gesperrt. |
Angelegt am |
Zeitpunkt, an dem das Benutzerkonto erstellt wurde. |
Angelegt von |
Benutzer, der das Benutzerkonto erstellt hat. |