Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für die Anbindung einer Universal Cloud Interface-Umgebung

Verwalten einer Universal Cloud Interface-Umgebung Synchronisieren einer Cloud-Anwendung im Universal Cloud Interface
Einrichten der Initialsynchronisation mit einer Cloud-Anwendung im Universal Cloud Interface Anpassen einer Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach der Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Provisionierung von Objektänderungen Managen von Cloud Benutzerkonten und Identitäten Managen der Zuweisungen von Cloud Gruppen und Cloud Systemberechtigungen Bereitstellen von Anmeldeinformationen für Cloud Benutzerkonten Abbildung von Cloud-Objekten im One Identity Manager
Cloud Zielsysteme Containerstrukturen Cloud Benutzerkonten Cloud Gruppen Cloud Systemberechtigungen Cloud Berechtigungselemente Berichte über Objekte in Cloud Zielsystemen
Behandeln von Cloud-Objekten im Web Portal Basisdaten für die Verwaltung einer Universal Cloud Interface-Umgebung Konfigurationsparameter für die Verwaltung von Cloud Zielsystemen Standardprojektvorlage für Cloud-Anwendungen im Universal Cloud Interface

Verwalten einer Universal Cloud Interface-Umgebung

Der One Identity Manager unterstützt die Umsetzung von Identity und Access Governance Anforderungen in IT-Umgebungen, die häufig eine Mischung aus traditionellen, intern gehosteten Applikationen und modernen Cloud-Anwendungen darstellen. Benutzer und Berechtigungen aus Cloud-Anwendungen können im One Identity Manager abgebildet werden. Damit ist es möglich, die Identity und Access Governance Prozesse wie Attestierung, Identity Audit, Management von Benutzern und Systemberechtigungen, IT Shop oder Berichtsabonnements auch für Cloud-Anwendungen zu nutzen.

Datenschutzrichtlinien, wie die Datenschutz-Grundverordnung, erfordern eine Abstimmung, welche Daten eines Mitarbeiters in Cloud-Anwendungen gespeichert werden dürfen. Bei entsprechender Konfiguration der Systemumgebung gewährleistet der One Identity Manager, dass Cloud-Anwendungen und deren verantwortliche Administratoren keinerlei Zugriff auf die Identitätenstammdaten sowie die Identity und Access Governance Prozesse erhalten. Aus diesem Grund werden Cloud-Anwendungen in zwei getrennten Modulen verwaltet, die bei Bedarf in getrennten Datenbanken installiert sein können.

Das Modul Universal Cloud Interface bildet die Schnittstelle, über die Benutzer und Berechtigungen aus Cloud-Anwendungen in eine One Identity Manager-Datenbank übertragen werden können. Hier wird die Synchronisation mit den Cloud-Anwendungen konfiguriert und ausgeführt. Jede Cloud-Anwendung wird als eigenes Basisobjekt im One Identity Manager abgebildet. Die Benutzerdaten werden als Benutzerkonten, Gruppen, Systemberechtigungen und Berechtigungselemente gespeichert und können in Containern organisiert werden. Sie können im One Identity Manager nicht bearbeitet werden. Eine Verbindung zu Identitäten wird hier nicht hergestellt.

Im Modul Cloud Systems Management wird die Verbindung zu Identitäten hergestellt; Benutzerkonten, Gruppen, Systemberechtigungen und Berechtigungselemente können erstellt und bearbeitet werden. Damit können die Identity und Access Governance Prozesse zur Verwaltung der Cloud-Benutzerkonten und ihren Berechtigungen genutzt werden. Per Synchronisation werden die Daten zwischen den Modulen Universal Cloud Interface und Cloud Systems Management ausgetauscht. Provisionierungsprozesse sorgen dafür, dass Änderungen an den Objekten aus dem Modul Cloud Systems Management in das Modul Universal Cloud Interface übertragen werden.

Für manche Cloud-Anwendungen kann (aus technischen Gründen) oder soll (aufgrund der zu geringen Änderungsmenge) keine automatisierte Schnittstelle zum Provisionieren von Änderungen aus dem Modul Universal Cloud Interface in die Cloud-Anwendung eingesetzt werden. In diesem Fall können die Änderungen manuell provisioniert werden.

Da im Modul Universal Cloud Interface nur die Daten gespeichert werden, die in den Cloud-Anwendungen verfügbar sein müssen, kann dieses Modul in einer separaten Datenbank installiert werden. Diese Datenbank kann sich auch außerhalb der Unternehmensinfrastruktur befinden.

In Verbindung mit der Cloud-Lösung One Identity Starling Connect entsteht eine einfache und umfassende Lösung zur Integration von Cloud-Anwendungen und zur Abbildung der Anforderungen an hybride Lösungsszenarien.

Architekturüberblick

Für die Synchronisation mit Cloud-Anwendungen im Modul Universal Cloud Interface wird ein Synchronisationsserver benötigt, auf dem der Universal Cloud Interface Konnektor installiert ist. Das Modul Universal Cloud Interface kann in der selben One Identity Manager-Datenbank vorhanden sein, in der auch das Modul Cloud Systems Management installiert ist. Die Synchronisation kann aber auch mit einer anderen One Identity Manager-Datenbank eingerichtet werden, die auf einem externen Datenbankserver bereitgestellt wird.

Abbildung 1: Architektur für die Synchronisation

Ausführliche Informationen über die Kommunikation zwischen dem Universal Cloud Interface und den Cloud-Anwendungen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung von Cloud-Anwendungen.

One Identity Manager Benutzer für die Verwaltung von Cloud Zielsystemen

In die Einrichtung und Verwaltung von Cloud Zielsystemen sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer
Benutzer Aufgaben

Zielsystemadministratoren

Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.

  • Legen die Zielsystemverantwortlichen fest.

  • Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.

  • Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.

  • Berechtigen weitere Identitäten als Zielsystemadministratoren.

  • Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme.

Zielsystemverantwortliche

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Cloud Zielsysteme oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das Zielsystem.

  • Erzeugen, ändern oder löschen die Zielsystemobjekte.

  • Bearbeiten Kennwortrichtlinien für das Zielsystem.

  • Bereiten Gruppen und Systemberechtigungen zur Aufnahme in den IT Shop vor.

  • Können Identitäten anlegen, die nicht den Identitätstyp Primäre Identität haben.

  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.

  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Identitäten als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Administratoren für den IT Shop

Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Gruppen an IT Shop-Strukturen zu.

  • Weisen Systemberechtigungen an IT Shop-Strukturen zu.

Administratoren für Organisationen

Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Gruppen an Abteilungen, Kostenstellen und Standorte zu.

  • Weisen Systemberechtigungen an Abteilungen, Kostenstellen und Standorte zu.

Administratoren für Geschäftsrollen

Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Gruppen an Geschäftsrollen zu.

  • Weisen Systemberechtigungen an Geschäftsrollen zu.

Synchronisieren einer Cloud-Anwendung im Universal Cloud Interface

Per Synchronisation werden die Daten zwischen den Modulen Universal Cloud Interface und Cloud Systems Management ausgetauscht. Damit die Identity und Data Governance Prozesse auf die Objekte aus einer Cloud-Anwendung angewendet werden können, muss die Synchronisation zwischen beiden Modulen eingerichtet werden.

HINWEIS: Im Folgenden ist häufig von Zielsystem und (One Identity Manager) Datenbank die Rede. Dabei meint Zielsystem immer eine Cloud-Anwendung im Universal Cloud Interface. One Identity Manager-Datenbank oder Datenbank bezieht sich immer auf die Objekte im Modul Cloud Systems Management.

Tabelle 2: Begriffe
  One Identity Manager-Datenbank Zielsystem
Verbundenes System Modul Cloud Systems Management Modul Universal Cloud Interface
Basisobjekt Cloud Zielsystem Cloud-Anwendung

Wie die Schematypen der verbundenen Systeme aufeinander abgebildet werden, ist im Mapping festgelegt. Weitere Informationen finden Sie unter Standardprojektvorlage für Cloud-Anwendungen im Universal Cloud Interface.

Informieren Sie sich hier:

  • wie Sie die Synchronisation zwischen den Modulen Universal Cloud Interface und Cloud Systems Management einrichten,

  • wie Sie eine Synchronisationskonfiguration anpassen, beispielsweise um verschiedene Zielsysteme mit ein und demselben Synchronisationsprojekt zu synchronisieren,

  • wie Sie die Synchronisation starten und deaktivieren,

  • wie Sie die Synchronisationsergebnisse auswerten.

TIPP: Bevor Sie die Synchronisation einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema
Self Service Tools
Knowledge Base
Notifications & Alerts
Product Support
Software Downloads
Technical Documentation
User Forums
Video Tutorials
RSS Feed
Contact Us
Licensing Assistance
Technical Support
View All
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating