Chat now with support
Chat with Support

Identity Manager 9.1 - Administrationshandbuch für das Identity Management Basismodul

Grundlagen zur Abbildung von Unternehmensstrukturen im One Identity Manager Dynamische Rollen Abteilungen, Kostenstellen und Standorte
One Identity Manager Benutzer für die Verwaltung von Abteilungen, Kostenstellen und Standorten Basisdaten für Abteilungen, Kostenstellen und Standorte Abteilungen erstellen und bearbeiten Kostenstellen erstellen und bearbeiten Standorte erstellen und bearbeiten IT Betriebsdaten für Abteilungen, Kostenstellen und Standorte einrichten Personen, Geräte und Arbeitsplätze an Abteilungen, Kostenstellen und Standorte zuweisen Unternehmensressourcen an Abteilungen, Kostenstellen und Standorte zuweisen Dynamische Rollen für Abteilungen, Kostenstellen und Standorte erstellen und bearbeiten Dynamische Rollen mit fehlerhaft ausgeschlossenen Personen Organisationen zuweisen Vererbungsausschluss für Abteilungen, Kostenstellen und Standorte festlegen Zusatzeigenschaften an Abteilungen, Kostenstellen und Standorte zuweisen Zertifizierung von Abteilungen, Kostenstellen und Standorten Berichte über Abteilungen, Kostenstellen und Standorte
Personen verwalten
One Identity Manager Benutzer für die Personenverwaltung Basisdaten für Personenstammdaten Zentrales Benutzerkonto einer Person Standard-E-Mail-Adresse einer Person Zentrales Kennwort einer Person Abbildung mehrerer Identitäten einer Person Kennwortrichtlinien für Personen Personen erstellen und bearbeiten Deaktivieren und Löschen von Personen Löschen aller personenbezogenen Daten Eingeschränkter Zugang zum One Identity Manager Zertifizierungsstatus von Personen ändern Unternehmensressourcen an Personen zuweisen Herkunft von Rollen und Berechtigungen von Personen anzeigen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen Überblick über Personen anzeigen Webauthn-Sicherheitsschlüssel von Personen anzeigen und löschen Ermitteln der Sprache für Personen Ermitteln der Arbeitszeiten für Personen Benutzerkonten manuell an Personen zuweisen Calls für Personen erfassen Zusatzeigenschaften an Personen zuweisen Berichte über Personen
Geräte und Arbeitsplätze verwalten
Basisdaten für die Geräteverwaltung Geräte erstellen und bearbeiten Unternehmensressourcen an Geräte zuweisen Überblick über Geräte anzeigen Servicevereinbarungen an Geräte zuweisen und Calls erfassen Arbeitsplätze erstellen und bearbeiten Unternehmensressourcen an Arbeitsplätze zuweisen Überblick über Arbeitsplätze anzeigen Geräte an Arbeitsplätze zuweisen Arbeitsplätze an Personen zuweisen Calls für Arbeitsplätze erfassen Anlageinformationen für Geräte
Ressourcen verwalten Zusatzeigenschaften einrichten Konfigurationsparameter für die Verwaltung von Abteilungen, Kostenstellen und Standorten Konfigurationsparameter für die Verwaltung von Personen Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen

Zentrales Kennwort einer Person

Das zentrale Kennwort einer Person kann für die Anmeldung an den Zielsystemen und für die Anmeldung am One Identity Manager verwendet werden. Abhängig von der Konfiguration wird dazu das zentrale Kennwort einer Person an ihre Benutzerkonten und auf ihr Systembenutzerkennwort publiziert.

  • Um die Änderung des zentralen Kennwortes einer Person in alle bestehenden Benutzerkonten der Person zu publizieren, prüfen Sie im Designer, ob der Konfigurationsparameter QER | Person | UseCentralPassword aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter.

  • Um das zentrale Kennwort einer Person auf ihr Systembenutzerkennwort zur Anmeldung zu übernehmen, prüfen Sie im Designer, ob der Konfigurationsparameter QER | Person | UseCentralPassword | SyncToSystemPassword aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter.

  • Soll ein gesperrtes Systembenutzerkonto einer Person bei der Eingabe des zentralen Kennwortes entsperrt werden, prüfen Sie im Designer, ob der Konfigurationsparameter QER | Person | UseCentralPassword | SyncToSystemPassword | UnlockByCentralPassword aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter.

HINWEIS:

  • Auf das zentrale Kennwort einer Person wird die Kennwortrichtlinie Kennwortrichtlinie für zentrales Kennwort von Personen angewendet. Stellen Sie sicher, dass die Kennwortrichtlinie nicht gegen die zielsystemspezifischen Kennwortrichtlinien verstößt.

  • Über den Konfigurationsparameter QER | Person | UseCentralPassword | CheckAllPolicies kann festgelegt werden, ob das zentrale Kennwort einer Person gegen alle Kennwortrichtlinien der Zielsysteme geprüft werden soll, in denen die Person Benutzerkonten besitzt. Die Prüfung erfolgt nur im Kennwortrücksetzungsportal.

  • Das zentrale Kennwort einer Person wird nur dann an ein Benutzerkonto publiziert, wenn das Zielsystem des Benutzerkontos durch den One Identity Manager synchronisiert wird.

  • Wird ein Zielsystem nur gelesen, wird das zentrale Kennwort einer Person nicht auf Benutzerkonten in diesem Zielsystem übertragen.

  • Das zentrale Kennwort einer Person wird nicht auf privilegierte Benutzerkonten der Person publiziert.

  • Kann ein Kennwort aufgrund eines Fehlers nicht geändert werden, erhält die Person eine entsprechende E-Mail Benachrichtigung.

  • Um das zentrale Kennwort einer Person in eine Kennwortspalte einer kundenspezifischen Benutzerkontentabelle zu publizieren, definieren Sie im Designer ein ViewAddOn für die Sicht QERVPersonCentralPwdColumn. Die Datenbanksicht liefert die Kennwortspalte der Benutzerkontentabellen. Die Benutzerkontentabelle muss einen Verweis auf die Person haben (UID_Person) sowie eine Spalte XMarkedForDeletion. Ausführliche Informationen zum Anpassen des One Identity Manager Schemas finden Sie im One Identity Manager Konfigurationshandbuch.

  • Sollen weitere kundenspezifische Besonderheiten abgebildet werden, überschreiben Sie das Skript QER_Publish_CentralPassword. Ausführliche Informationen zum Bearbeiten von Skripten finden Sie im One Identity Manager Konfigurationshandbuch.

  • Das zentrale Kennwort, das Systembenutzerkennwort und die Kennwörter der Benutzerkonten können über das Kennwortrücksetzungsportal geändert werden. Ausführliche Informationen finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch und im One Identity Manager Konfigurationshandbuch für Webanwendungen.

Verwandte Themen

Abbildung mehrerer Identitäten einer Person

Tabelle 30: Konfigurationsparameter für die Abbildung mehrerer Identitäten

Konfigurationsparameter

Wirkung bei Aktivierung

Person | MasterIdentity | UseMasterForAuthentication

Legt fest, ob zur Anmeldung an One Identity Manager-Werkzeugen über Personen-basierte Authentifizierungsmodule die Hauptidentität genutzt werden soll.

Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität für personengebundene Authentifizierungen genutzt. Ist der Konfigurationsparameter deaktiviert, wird die Subidentität für personengebundene Authentifizierungen genutzt.

Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen und zum Bearbeiten von Systembenutzern finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

In großen Unternehmen hat eine Person unter Umständen für ihre Arbeit unterschiedliche Identitäten, die beispielsweise aus unterschiedlichen Verträgen für unterschiedliche Tochterunternehmen resultieren. Diese Identitäten können sich beispielsweise in der Zugehörigkeit zu Abteilungen oder Kostenstellen oder in den Zugriffsberechtigungen unterscheiden. Ebenso können externe Mitarbeiter an unterschiedlichen Standorten eingesetzt werden und mit verschiedenen Identitäten im System abgebildet sein. Um die einzelnen Identitäten einer Person abzubilden und an einer zentralen Stelle zusammenzuführen, können Sie im One Identity Manager Hauptidentitäten und Subidentitäten für eine Person definieren.

In Zielsystemen werden unterschiedliche Typen von Benutzerkonten bereitgestellt, um die Personen mit unterschiedlichen Berechtigungen zu versorgen. Eine Person kann mit unterschiedlichen Identitäten mehrere Benutzerkonten mit unterschiedlichen Typen nutzen. Um die Zuweisung von Berechtigungen in den Zielsystemen besser steuern zu können, werden die Subidentitäten der Personen in verschiedene Identitätstypen unterteilt. Diese Einteilung entspricht den Benutzerkontentypen.

Hauptidentität

  • Eine Hauptidentität repräsentiert eine wirkliche Person.

  • Einer Hauptidentität können im One Identity Manager Benutzerkonten und Berechtigungen zugewiesen werden und sie kann innerhalb des IT Shops Bestellungen auslösen.

  • Für eine Hauptidentität werden im One Identity Manager Personenstammdaten abgebildet.

  • Eine Hauptidentität kann mehrere Subidentitäten besitzen.

Subidentität

  • Eine Subidentität ist eine virtuelle Person.

  • Einer Subidentität können im One Identity Manager Benutzerkonten und Berechtigungen zugewiesen werden und sie kann innerhalb des IT Shops Bestellungen auslösen.

  • Eine Subidentität ist immer einer Hauptidentität zugeordnet.

  • Für eine Subidentität werden im One Identity Manager die Personenstammdaten abgebildet. Diese können über entsprechend definierte Bildungsregeln aus den Personenstammdaten der Hauptidentität übernommen werden.

  • Für eine Subidentität geben Sie auf dem Stammdatenformular der Person über die Auswahlliste Hauptidentität die Hauptidentität an.

TIPP: Wenn eine Person mit mehreren Identitäten arbeitet, aber bisher nur eine Identität davon im One Identity Manager bekannt war, dann sollten Sie

  • eine Hauptidentität für die Person erstellen

  • die bisher bekannte Identität als Subidentität zuordnen

  • für die weiteren Identitäten neue Subidentitäten erstellen

Auf diese Weise ist beispielsweise innerhalb eines Identity Audits die Überprüfung der zulässigen Berechtigungen der Person pro Subidentität oder für die Hauptidentität, unter Einbeziehung aller Subidentitäten, möglich.

Verwandte Themen

Identitätstypen von Personen

Um die verschiedenen Identitäten einer Person zu differenzieren, nutzen Sie die folgenden Identitätstypen.

Tabelle 31: Identitätstypen

Wert

Beschreibung

Primäre Identität

Standardidentität für eine Person. Die Person besitzt ein Standardbenutzerkonto.

Organisatorische Identität

Virtuelle Person (Subidentität), zur Abbildung unterschiedlicher Rollen einer Person in der Organisation. Die Subidentität besitzt ein Benutzerkonto vom Typ Organisatorische Identität.

Erfassen Sie zusätzlich eine Hauptidentität.

Persönliche Administratoridentität

Virtuelle Person (Subidentität), die ein Benutzerkonto vom Typ Persönliche Administratoridentität besitzt.

Erfassen Sie zusätzlich eine Hauptidentität.

Zusatzidentität

Pseudo-Person, die mit einem Benutzerkonto vom Typ Zusatzidentität verbunden ist.

Weisen Sie der Person einen Manager zu.

Gruppenidentität

Pseudo-Person, die mit einem administrativen Benutzerkonto vom Typ Gruppenidentität verbunden ist.

Weisen Sie der Person einen Manager zu.

Dienstidentität

Pseudo-Person, die mit einem Benutzerkonto vom Typ Dienstidentität verbunden ist.

Weisen Sie der Person einen Manager zu.

Maschinenidentität

Pseudo-Person zur Abbildung von Maschinenidentitäten.

Die primäre Identität, die organisatorische Identität und die persönliche Administratoridentität sind verschiedene Identitäten, unter denen ein und dieselbe Person ihre unterschiedlichen Aufgaben im Unternehmen ausführen kann.

Personen mit einer persönlichen Administratoridentität oder einer organisatorische Identität richten Sie als Subidentitäten ein. Diese Subidentitäten verbinden Sie mit den Benutzerkonten. Somit können für die unterschiedlichen Benutzerkonten die erforderlichen Berechtigungen erteilt werden.

Die Zusatzidentität, die Gruppenidentität und die Dienstidentität stellen Pseudo-Personen dar, über welche die verbundenen Benutzerkonten mit den Berechtigungen in den jeweiligen Zielsystemen versorgt werden. Durch die Einordnung der Pseudo-Personen in hierarchische Rollen oder als Kunden im IT Shop können Berechtigungen an die Benutzerkonten zugewiesen werden. Bestellungen im IT Shop kann nur der Manager dieser Pseudo-Personen auslösen. Bei der Auswertung von Berichten, Attestierungen oder Complianceprüfungen prüfen Sie, ob Pseudo-Personen gesondert betrachtet werden müssen.

Verwandte Themen

Kennwortrichtlinien für Personen

Der One Identity Manager unterstützt Sie beim Erstellen von komplexen Kennwortrichtlinien beispielsweise für Systembenutzerkennwörter, das zentrale Kennwort von Personen sowie für Kennwörter für die einzelnen Zielsysteme. Kennwortrichtlinien werden sowohl bei der Eingabe eines Kennwortes durch den Anwender als auch bei der Generierung von Zufallskennwörtern angewendet.

In der Standardinstallation werden vordefinierte Kennwortrichtlinien mitgeliefert, die Sie nutzen können und bei Bedarf an Ihre Anforderungen anpassen können. Zusätzlich können Sie eigene Kennwortrichtlinien definieren.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating