Chat now with support
Chat with Support

Identity Manager 9.1.1 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Synchronisieren einer Azure Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten Anpassen der Synchronisationskonfiguration für Azure Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Azure Active Directory Benutzerkonten und Personen
Kontendefinitionen für Azure Active Directory Benutzerkonten Automatische Zuordnung von Personen zu Azure Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Personen bei Änderung von Azure Active Directory Benutzerkonten Löschverzögerung für Azure Active Directory Benutzerkonten festlegen
Managen von Mitgliedschaften in Azure Active Directory Gruppen Managen von Zuweisungen von Azure Active Directory Administratorrollen Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen
Wirksame und unwirksame Azure Active Directory Dienstpläne für Azure Active Directory Benutzerkonten und Azure Active Directory Gruppen anzeigen Zuweisen von Azure Active Directory Abonnements an Azure Active Directory Benutzerkonten Zuweisen von unwirksamen Azure Active Directory Dienstpläne an Azure Active Directory Benutzerkonten Vererbung von Azure Active Directory Abonnements anhand von Kategorien Vererbung von unwirksamen Azure Active Directory Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Azure Active Directory Benutzerkonten Abbildung von Azure Active Directory Objekten im One Identity Manager
Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten Azure Active Directory Benutzeridentitäten Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Abonnements und Azure Active Directory Dienstpläne Unwirksame Azure Active Directory Dienstpläne Azure Active Directory App-Registierungen und Azure Active Directory Dienstprinzipale Berichte über Azure Active Directory Objekte
Behandeln von Azure Active Directory Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlagen für Azure Active Directory Verarbeitung von Azure Active Directory Systemobjekten Einstellungen des Azure Active Directory Konnektors

Stammdaten von Azure Active Directory Dienstprinzipalen anzeigen

Die Informationen zu Azure Active Directory Dienstprinzipalen werden durch die Synchronisation in den One Identity Manager eingelesen. Die Stammdaten eines Azure Active Directory Dienstprinzipals können Sie nicht bearbeiten.

Um die Stammdaten eines Azure Active Directory Dienstprinzipals anzuzeigen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Dienstprinzipale

  2. Wählen Sie in der Ergebnisliste den Azure Active Directory Dienstprinzipal.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

Tabelle 41: Stammdaten eines Azure Active Directory Dienstprinzipals

Eigenschaft

Beschreibung

Anzeigename

Anzeigename des Dienstprinzipals.

Alternative Bezeichnungen Alternative Bezeichnung. Diese werden zum Abrufen von Dienstprinzipalen per Abonnement, zur Identifizierung von Ressourcengruppen und vollständigen Ressourcen-IDs für verwaltete Identitäten verwendet.

Webseite

Startseite der Azure Active Directory Anwendung.

Aktiviert Gibt an, ob der Dienstprinzipal aktiviert ist.
Anzeigename der Anwendung Anzeigename der zugehörigen Azure Active Directory Anwendung.
App-Rollenzuweisung erforderlich Gibt an, ob Benutzern oder anderen Dienstprinzipalen eine App-Rollenzuweisung für diesen Dienstprinzipal erteilt werden muss, bevor Benutzer sich anmelden oder Anwendungen Token erhalten können.

URL des Logos

Link zum Anwendungslogo.

Marketing URL

Link zur Marketingseite der Anwendung.

URL der Datenschutzerklärung

Link zur Datenschutzerklärung der Anwendung.

Service URL

Link zur Supportseite der Anwendung.

URL zu den Vertragsbedingungen

Link zu den Vertragsbedingungen der Anwendung.

Anmelde-URL URL, unter der der Identitätsanbieter den Benutzer zur Authentifizierung zu Azure Active Directory umleitet.
Abmelde-URL URL, die vom Autorisierungsdienst von Microsoft verwendet wird, um einen Benutzer mithilfe von OpenID Connect front-channel, OpenID Connect back-channel oder SAML-Abmeldeprotokollen abzumelden.
E-Mail-Adressen für Benachrichtigungen

Liste der E-Mail-Adressen an, an die Azure Active Directory eine Benachrichtigung sendet, wenn sich das aktive Zertifikat dem Ablaufdatum nähert.

Bevorzugter Single Sign-On Modus Modus für das Single Sign-On, der für diese Azure Active Directory Anwendung konfiguriert ist.

Antwort-URLs

URLs, an die Benutzertoken zur Anmeldung bei der verknüpften Anwendung gesendet werden, oder die Umleitungs-URIs, an die die OAuth 2.0-Autorisierungscodes und Zugriffstoken für die verknüpfte Anwendung gesendet werden.

Namen des Dienstprinzipals

Liste der URIs, die die zugehörige Azure Active Directory Anwendung innerhalb ihres Azure Active Directory Mandanten oder innerhalb einer verifizierten benutzerdefinierten Domäne identifizieren, wenn es sich um eine Azure Active Directory Anwendung für mehrere Azure Active Directory Mandanten handelt.

Typ des Dienstprinzipals

Typ des Dienstprinzipal beispielsweise eine Anwendung oder eine verwaltete Identität. Der Typ wird intern von Azure Active Directory festgelegt.

Schlüssel-ID zur Verschlüsselung

ID des öffentlichen Schlüssels zur Anmeldung über Zertifikate.

Richtlinie zur Startbereichsermittlung

Bezeichnung der Richtlinie zur Startbereichsermittlung.

Datum der Löschung

Zeitpunkt, an dem der Dienstprinzipal gelöscht wurde.

Schlagworte

Benutzerdefinierte Zeichenfolgen, die zur Kategorisierung und Identifizierung der Anwendung verwendet werden können.

Verwandte Themen

Berichte über Azure Active Directory Objekte

Der One Identity Manager stellt verschiedene Berichte zur Verfügung, in denen Informationen über das ausgewählte Basisobjekt und seine Beziehungen zu anderen Objekten der One Identity Manager-Datenbank aufbereitet sind. Für Azure Active Directory stehen folgende Berichte zur Verfügung.

HINWEIS: Abhängig von den vorhandenen Modulen können weitere Berichte zur Verfügung stehen.

Tabelle 42: Berichte zur Datenqualität eines Zielsystems

Bericht

Bereitgestellt für

Beschreibung

Übersicht anzeigen

Benutzerkonto

Der Bericht zeigt einen Überblick über das Benutzerkonto und die zugewiesenen Berechtigungen.

Übersicht anzeigen (inklusive Herkunft)

Benutzerkonto

Der Bericht zeigt einen Überblick über das Benutzerkonto und die Herkunft der zugewiesenen Berechtigungen.

Übersicht anzeigen (inklusive Historie)

Benutzerkonto

Der Bericht zeigt einen Überblick über das Benutzerkonto einschließlich eines historischen Verlaufs.

Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt.

Überblick über die Lizenz

Benutzerkonto

Der Bericht enthält eine Zusammenfassung der zugewiesenen und effektiven Abonnements und Dienstpläne für ein Benutzerkonto.

Überblick über die Lizenz

Abonnement

Der Bericht zeigt einen Überblick über die Lizenz eines Abonnements. Es wird angezeigt, an welche Gruppen und Benutzerkonten das Abonnement zugewiesen ist und welche Dienstpläne für die Gruppen und die Benutzerkonten effektiv wirken.

Übersicht aller Zuweisungen

Gruppe

Abonnement

Administratorrolle

Der Bericht ermittelt alle Rollen, in denen sich Personen befinden, welche die ausgewählte Systemberechtigung besitzen.

Übersicht anzeigen

Gruppe

Der Bericht zeigt einen Überblick über die Systemberechtigung und ihre Zuweisungen.

Übersicht anzeigen (inklusive Herkunft)

Gruppe

Der Bericht zeigt einen Überblick über die Systemberechtigung und die Herkunft der zugewiesenen Benutzerkonten.

Übersicht anzeigen (inklusive Historie)

Gruppe

Der Bericht zeigt einen Überblick über die Systemberechtigung einschließlich eines historischen Verlaufs.

Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt.

Abweichende Systemberechtigungen anzeigen

Mandant

Der Bericht enthält alle Systemberechtigungen, die aus manuellen Operationen im Zielsystem resultieren und nicht aus der Provisionierung über den One Identity Manager.

Benutzerkonten anzeigen (inklusive Historie)

Mandant

Der Bericht liefert alle Benutzerkonten mit ihren Berechtigungen einschließlich eines historischen Verlaufs.

Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt.

Benutzerkonten mit einer überdurchschnittliche Anzahl an Systemberechtigungen anzeigen

Mandant

Der Bericht enthält alle Benutzerkonten, die eine überdurchschnittliche Anzahl an Systemberechtigungen besitzen.

Personen mit mehreren Benutzerkonten anzeigen

Mandant

Der Bericht zeigt alle Personen, die mehrere Benutzerkonten besitzen. Der Bericht enthält eine Risikoeinschätzung.

Systemberechtigungen anzeigen (inklusive Historie)

Mandant

Der Bericht zeigt die Systemberechtigungen mit den zugewiesenen Benutzerkonten einschließlich eines historischen Verlaufs.

Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt.

Übersicht aller Zuweisungen

Mandant

Der Bericht ermittelt alle Rollen, in denen sich Personen befinden, die im ausgewählten Zielsystem mindestens ein Benutzerkonto besitzen.

Ungenutzte Benutzerkonten anzeigen

Mandant

Der Bericht enthält alle Benutzerkonten, die in den letzten Monaten nicht verwendet wurden.

Unverbundene Benutzerkonten anzeigen

Mandant

Der Bericht zeigt alle Benutzerkonten, denen keine Person zugeordnet ist.

Tabelle 43: Zusätzliche Berichte für das Zielsystem

Bericht

Beschreibung

Azure Active Directory Benutzerkonten- und Gruppenverteilung

Der Bericht enthält eine Zusammenfassung zur Benutzerkonten- und Gruppenverteilung aller Mandanten. Den Bericht finden Sie in der Kategorie Mein One Identity Manager.

Datenqualität der Azure Active Directory Benutzerkonten

Der Bericht enthält verschiedenen Auswertungen zur Datenqualität der Benutzerkonten aller Mandanten. Den Bericht finden Sie in der Kategorie Mein One Identity Manager.

Behandeln von Azure Active Directory Objekten im Web Portal

Der One Identity Manager bietet seinen Benutzern die Möglichkeit, verschiedene Aufgaben unkompliziert über ein Web Portal zu erledigen.

  • Managen von Benutzerkonten und Personen

    Mit der Zuweisung einer Kontendefinition an ein IT Shop Regal kann die Kontendefinition von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Person, beispielsweise einen Manager, wird das Benutzerkonto angelegt.

  • Managen von Zuweisungen von Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstplänen

    Mit der Zuweisung von Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstplänen an ein IT Shop Regal können diese Produkte von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Person wird die Gruppe, die Administratorrolle, das Abonnement oder der unwirksame Dienstplan zugewiesen.

    Im IT Shop sind die Regale Identity & Access Lifecycle > Azure Active Directory Gruppen, Identity & Access Lifecycle > Azure Active Directory Abonnements und Identity & Access Lifecycle > Unwirksame Azure Active Directory Dienstpläne vorhanden.

    Manager und Administratoren von Organisationen können im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Abteilungen, Kostenstellen oder Standorte zuweisen, für die sie verantwortlich sind. Die Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstpläne werden an alle Personen vererbt, die Mitglied dieser Abteilungen, Kostenstellen oder Standorte sind.

    Wenn das Geschäftsrollenmodul vorhanden ist, können Manager und Administratoren von Geschäftsrollen im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Geschäftsrollen zuweisen, für die sie verantwortlich sind. Die Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne werden an alle Personen vererbt, die Mitglied dieser Geschäftsrollen sind.

    Wenn das Systemrollenmodul vorhanden ist, können Verantwortliche von Systemrollen im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Systemrollen zuweisen. Die Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstpläne werden an alle Personen vererbt, denen diese Systemrollen zugewiesen sind.

  • Attestierung

    Wenn das Modul Attestierung vorhanden ist, kann die Richtigkeit der Eigenschaften von Zielsystemobjekten und von Berechtigungszuweisungen regelmäßig oder auf Anfrage bescheinigt werden. Dafür werden im Manager Attestierungsrichtlinien konfiguriert. Die Attestierer nutzen das Web Portal, um Attestierungsvorgänge zu entscheiden.

  • Governance Administration

    Wenn das Modul Complianceregeln vorhanden ist, können Regeln definiert werden, die unzulässige Berechtigungszuweisungen identifizieren und deren Risiken bewerten. Die Regeln werden regelmäßig und bei Änderungen an den Objekten im One Identity Manager überprüft. Complianceregeln werden im Manager definiert. Verantwortliche Personen nutzen das Web Portal, um Regelverletzungen zu überprüfen, aufzulösen und Ausnahmegenehmigungen zu erteilen.

    Wenn das Modul Unternehmensrichtlinien vorhanden ist, können Unternehmensrichtlinien für die im One Identity Manager abgebildeten Zielsystemobjekte definiert und deren Risiken bewertet werden. Unternehmensrichtlinien werden im Manager definiert. Verantwortliche Personen nutzen das Web Portal, um Richtlinienverletzungen zu überprüfen und Ausnahmegenehmigungen zu erteilen.

  • Risikobewertung

    Über den Risikoindex von Gruppen, Administratorrollen und Abonnements kann das Risiko von Zuweisungen für das Unternehmen bewertet werden. Dafür stellt der One Identity Manager Standard-Berechnungsvorschriften bereit. Im Web Portal können die Berechnungsvorschriften modifiziert werden.

  • Berichte und Statistiken

    Das Web Portal stellt verschiedene Berichte und Statistiken über die Personen, Benutzerkonten, deren Berechtigungen und Risiken bereit.

Ausführliche Informationen zu den genannten Themen finden Sie unter Managen von Azure Active Directory Benutzerkonten und Personen, Managen von Mitgliedschaften in Azure Active Directory Gruppen, Managen von Zuweisungen von Azure Active Directory Administratorrollen, Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen und in folgenden Handbüchern:

  • One Identity Manager Web Designer Web Portal Anwenderhandbuch

  • One Identity Manager Administrationshandbuch für Attestierungen

  • One Identity Manager Administrationshandbuch für Complianceregeln

  • One Identity Manager Administrationshandbuch für Unternehmensrichtlinien

  • One Identity Manager Administrationshandbuch für Risikobewertungen

Empfehlungen für Verbund-Umgebungen

HINWEIS: Für die Unterstützung von Verbund-Umgebungen im One Identity Manager müssen folgende Module vorhanden sein:

  • Active Directory Modul

  • Azure Active Directory Modul

In einer Verbund-Umgebung sind die lokalen Active Directory Benutzerkonten mit Azure Active Directory Benutzerkonten verbunden. Die Verbindung erfolgt über die Eigenschaft ms-ds-consistencyGUID am Active Directory Benutzerkonto und die Eigenschaft immutableId am Azure Active Directory Benutzerkonto. Die Synchronisation der Active Directory Benutzerkonten und Azure Active Directory Benutzerkonten in der Verbund-Umgebung übernimmt Azure AD Connect. Ausführliche Informationen zu Azure AD Connect finden Sie in der Azure Active Directory Dokumentation von Microsoft.

Im One Identity Manager wird die Verbindung über die Azure AD Connect Anker-ID des Active Directory Benutzerkontos (ADSAccount.MSDsConsistencyGuid) und den unveränderlichen Bezeichner des Azure Active Directory Benutzerkontos (AADUser.OnPremImmutableId) abgebildet.

Einige der zielsystemrelevanten Eigenschaften von Azure Active Directory Benutzerkonten, die mit lokalen Active Directory Benutzerkonten verbunden sind, können im One Identity Manager nicht bearbeitet werden. Die Zuweisung von Berechtigungen an Azure Active Directory Benutzerkonten im One Identity Manager ist jedoch möglich.

Zuweisungen zu Azure Active Directory Gruppen, die mit dem lokalen Active Directory synchronisiert werden, sind im One Identity Manager nicht erlaubt. Diese Gruppen können nicht über das Web Portal bestellt werden. Sie können diese Gruppen nur in Ihrer lokalen Umgebung verwalten. Ausführliche Informationen finden Sie in der Azure Active Directory Dokumentation von Microsoft.

Der One Identity Manager unterstützt folgende Szenarien für Verbund-Umgebungen.

Szenario 1
  1. Die Active Directory Benutzerkonten werden im One Identity Manager erstellt und in die lokale Active Directory-Umgebung provisioniert.

  2. Azure AD Connect erzeugt die Azure Active Directory Benutzerkonten im Azure Active Directory Mandanten.

  3. Die Azure Active Directory Synchronisation liest die Azure Active Directory Benutzerkonten in den One Identity Manager ein.

Dieses Szenario ist das empfohlene Vorgehen. Das Erzeugen eines Azure Active Directory Benutzerkontos über Azure AD Connect und das anschließende Einlesen in den One Identity Manager dauern in der Regel einige Zeit. Die Azure Active Directory Benutzerkonten sind nicht sofort im One Identity Manager verfügbar.

Szenario 2
  1. Die Active Directory Benutzerkonten und die Azure Active Directory Benutzerkonten werden im One Identity Manager erstellt.

    Dabei wird die Verbindung über die Spalten ADSAccount.MSDsConsistencyGuid und AADUser.OnPremImmutableId hergestellt. Dies kann über kundenspezifische Skripte oder kundenspezifische Bildungsregeln erfolgen.

  2. Die Active Directory Benutzerkonten und die Azure Active Directory Benutzerkonten werden unabhängig voneinander in ihre Zielumgebungen provisioniert.

  3. Azure AD Connect erkennt die Verbindung zwischen den Benutzerkonten, stellt die Verbindung auch in der Verbund-Umgebung her und aktualisiert die erforderlichen Eigenschaften.

  4. Die nächste Azure Active Directory Synchronisation aktualisiert die Azure Active Directory Benutzerkonten im One Identity Manager.

Mit diesem Szenario sind die Azure Active Directory Benutzerkonten sofort im One Identity Manager vorhanden und können ihre Berechtigungen erhalten.

HINWEIS:

  • Wenn Sie mit Kontendefinitionen arbeiten, wird empfohlen die Kontendefinition für Active Directory als vorausgesetzte Kontendefinition in der Kontendefinition für Azure Active Directory einzutragen.

  • Wenn Sie mit Kontendefinitionen arbeiten, wird empfohlen im Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend mit dem Wert Nur initial verwenden. Die Daten werden in diesem Fall nur initial ermittelt.

  • Nachträgliche Änderungen der Azure Active Directory Benutzerkonten per Bildungsregeln sollten nicht erfolgen, da einige der Zielsystem-relevanten Eigenschaften nicht bearbeitbar sind und es zu Fehlermeldungen kommen kann:

    [Exception]: ServiceException occured

    Code: Request_BadRequest

    Message: Unable to update the specified properties for on-premises mastered Directory Sync objects or objects currently undergoing migration.

    [ServiceException]: Code: Request_BadRequest - Message: Unable to update the specified properties for on-premises mastered Directory Sync objects or objects currently undergoing migration.

 

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating