Chat now with support
Chat with Support

Identity Manager 9.1.2 - Administrationshandbuch für die Anbindung einer SharePoint Online-Umgebung

Abbilden einer SharePoint Online-Umgebung im One Identity Manager Synchronisieren einer SharePoint Online-Umgebung
Einrichten der Initialsynchronisation mit einem SharePoint Online Mandanten Besonderheiten zur Synchronisation von SharePoint Online-Umgebungen Anpassen einer Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von SharePoint Online Benutzerkonten und Personen
Kontendefinitionen für SharePoint Online Benutzerkonten Automatische Zuordnung von Personen zu SharePoint Online Benutzerkonten Personen manuell mit SharePoint Online Benutzerkonten verbinden Anwendungsfälle für SharePoint Online Benutzerkonten Unterstützte Typen von Benutzerkonten Löschverzögerung für SharePoint Online Benutzerkonten festlegen
Managen von Zuweisungen von SharePoint Online Gruppen und Rollen Abbilden von SharePoint Online Objekten im One Identity Manager
SharePoint Online Mandanten SharePoint Online Benutzerkonten SharePoint Online Gruppen SharePoint Online Berechtigungsstufen SharePoint Online Websitesammlungen SharePoint Online Websites SharePoint Online Rollen Einrichten von SharePoint Online Websitesammlungen und Websites Berichte über SharePoint Online Objekte
Behandeln von SharePoint Online Objekten im Web Portal Basisdaten für die Verwaltung einer SharePoint Online-Umgebung Beheben von Fehlern beim Anbinden einer SharePoint Online-Umgebung Konfigurationsparameter für die Verwaltung einer SharePoint Online Standardprojektvorlage für SharePoint Online Verarbeitung von Systemobjekten

Anwendungsfälle für SharePoint Online Benutzerkonten

Beispiel:

Für eine Websitesammlung soll ein Gastzugang eingerichtet werden, der nur zum Lesen berechtigt. Dafür wird ein SharePoint Online Benutzerkonto angelegt. Diesem Benutzerkonto wird als Authentifizierungsobjekt die Azure Active Directory Gruppe Guests zugeordnet. Clara Harris besitzt ein Azure Active Directory Benutzerkonto, das Mitglied dieser Gruppe ist. Damit kann sie sich an der Websitesammlung anmelden und erhält alle Berechtigungen des SharePoint Online Benutzerkontos.

Jan Bloggs soll ebenfalls einen Gastzugang für die Websitesammlung erhalten. Er besitzt ein Azure Active Directory Benutzerkonto in der selben Domäne. Im Web Portal bestellt er die Mitgliedschaft in der Azure Active Directory Gruppe Guests. Sobald die Bestellung genehmigt und zugewiesen ist, kann er sich an der Websitesammlung anmelden.

Abhängig vom referenzierten Authentifizierungsobjekt werden SharePoint Online Zugriffsberechtigungen im One Identity Manager auf unterschiedliche Weise bereitgestellt.

Fall 1: Das Authentifizierungsobjekt ist eine Gruppe. Das Authentifizierungssystem wird im One Identity Manager verwaltet. (Standardfall)
  • Das Benutzerkonto repräsentiert eine Azure Active Directory Gruppe. Diese Gruppe kann im One Identity Manager als Authentifizierungsobjekt zugeordnet werden.

  • Dem Benutzerkonto kann keine Person zugeordnet werden. Damit kann das Benutzerkonto nur über Direktzuweisung Mitglied in SharePoint Online Rollen und Gruppen werden.

  • Damit sich eine Person am SharePoint Online System anmelden kann, benötigt sie ein Azure Active Directory Benutzerkonto. Dieses Benutzerkonto muss Mitglied in der als Authentifizierungsobjekt genutzten Azure Active Directory Gruppe sein.

  • Ein neues SharePoint Online Benutzerkonto kann manuell erstellt werden.

  • Das Benutzerkonto kann nicht über eine Kontendefinition verwaltet werden.

Fall 2: Das Authentifizierungsobjekt ist ein Benutzerkonto. Das Authentifizierungssystem wird im One Identity Manager verwaltet.
  • Das Benutzerkonto repräsentiert ein Azure Active Directory Benutzerkonto. Dieses Benutzerkonto kann im One Identity Manager als Authentifizierungsobjekt zugeordnet werden.

  • Dem SharePoint Online Benutzerkonto kann eine Person zugeordnet werden. Damit kann das Benutzerkonto über Vererbung und über Direktzuweisung Mitglied in SharePoint Online Rollen und Gruppen werden.

    Wenn ein Authentifizierungsobjekt zugeordnet ist, wird die verbundene Person über das Authentifizierungsobjekt ermittelt.

    Wenn kein Authentifizierungsobjekt zugeordnet ist, kann die Person automatisch oder manuell zugeordnet werden. Die automatische Personenzuordnung ist abhängig von den Konfigurationsparametern TargetSystem | SharePointOnline | PersonAutoFullsync und TargetSystem | SharePointOnline | PersonAutoDefault.

  • Ein neues SharePoint Online Benutzerkonto kann manuell oder über eine Kontendefinition erstellt werden. Das Azure Active Directory Benutzerkonto, das als Authentifizierungsobjekt genutzt wird, muss zu einer Domäne gehören dem das referenzierte Authentifizierungssystem vertraut.

  • Das Benutzerkonto kann über eine Kontendefinition verwaltet werden.

Ausführliche Informationen zu den Grundlagen zur Behandlung und Administration von Personen und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Unterstützte Typen von Benutzerkonten

Im One Identity Manager können unterschiedliche Typen von Benutzerkonten wie beispielsweise Standardbenutzerkonten, administrative Benutzerkonten, Dienstkonten oder privilegierte Benutzerkonten abgebildet werden.

Zur Abbildung der verschiedenen Benutzerkontentypen werden die folgenden Eigenschaften verwendet.

  • Identität

    Mit der Eigenschaft Identität (Spalte IdentityType) wird der Typ des Benutzerkontos beschrieben.

    Tabelle 12: Identitäten von Benutzerkonten
    Identität Beschreibung Wert der Spalte IdentityType

    Primäre Identität

    Standardbenutzerkonto einer Person.

    Primary

    Organisatorische Identität

    Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.

    Organizational

    Persönliche Administratoridentität

    Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird.

    Admin

    Zusatzidentität

    Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.

    Sponsored

    Gruppenidentität

    Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird.

    Shared

    Dienstidentität

    Dienstkonto.

    Service

    HINWEIS: Um mit Identitäten für Benutzerkonten zu arbeiten, benötigen die Personen ebenfalls Identitäten. Benutzerkonten, denen eine Identität zugeordnet ist, können Sie nur mit Personen verbinden, die dieselbe Identität haben.

    Die primäre Identität, die organisatorische Identität und die persönliche Administratoridentität werden für die verschiedenen Benutzerkonten genutzt, mit denen ein und dieselbe Person ihre unterschiedlichen Aufgaben im Unternehmen ausführen kann.

    Um Benutzerkonten mit einer persönlichen Administratoridentität oder einer organisatorischen Identität für eine Person bereitzustellen, richten Sie für die Person Subidentitäten ein. Diese Subidentitäten verbinden Sie mit den Benutzerkonten. Somit können für die unterschiedlichen Benutzerkonten die erforderlichen Berechtigungen erteilt werden.

    Benutzerkonten mit einer Zusatzidentität, einer Gruppenidentität oder einer Dienstidentität verbinden Sie mit Pseudo-Personen, die keinen Bezug zu einer realen Person haben. Diese Pseudo-Personen werden benötigt, um Berechtigungen an die Benutzerkonten vererben zu können. Bei der Auswertung von Berichten, Attestierungen oder Complianceprüfungen prüfen Sie, ob die Pseudo-Personen gesondert betrachtet werden müssen.

    Ausführliche Informationen zur Abbildung von Identitäten von Personen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  • Privilegiertes Benutzerkonto

    Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

Detaillierte Informationen zum Thema

Standardbenutzerkonten

In der Regel erhält jede Person ein Standardbenutzerkonto, das die Berechtigungen besitzt, die für die tägliche Arbeit benötigt werden. Die Benutzerkonten haben eine Verbindung zur Person. Die Verbindung zwischen Person und SharePoint Online Benutzerkonto wird standardmäßig über das Authentifizierungsobjekt hergestellt, das dem Benutzerkonto zugeordnet ist. Davon abweichend können Personen auch direkt mit den Benutzerkonten verbunden sein. Solche Benutzerkonten können über Kontendefinitionen verwaltet werden.Über eine Kontendefinition und deren Automatisierungsgrade kann die Auswirkung der Verbindung und der Umfang der vererbten Eigenschaften der Person an die Benutzerkonten konfiguriert werden.

Um Standardbenutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition und weisen Sie die Automatisierungsgrade Unmanaged und Full managed zu.

  2. Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  3. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für Standardbenutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in den Abbildungsvorschriften für die Spalten IsGroupAccount_Group und IsGroupAccount_RLAsgn den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IdentityType den Standardwert Primary und aktivieren Sie die Option Immer Standardwert verwenden.

  4. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem. Wählen Sie unter Wirksam für das konkrete Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  5. Weisen Sie die Kontendefinition an die Personen zu.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

Verwandte Themen

Administrative Benutzerkonten

Für bestimmte administrative Aufgaben, ist der Einsatz administrativer Benutzerkonten notwendig. Administrative Benutzerkonten werden in der Regel vom Zielsystem vorgegeben und haben feste Bezeichnungen und Anmeldenamen, wie beispielsweise Administrator.

Administrative Benutzerkonten werden durch die Synchronisation in den One Identity Manager eingelesen.

HINWEIS: Einige administrative Benutzerkonten können automatisch als privilegierte Benutzerkonten gekennzeichnet werden. Aktivieren Sie dazu im Designer den Zeitplan Ausgewählte Benutzerkonten als privilegiert kennzeichnen.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating