Vererbung von Azure Active Directory Gruppen anhand von Kategorien
Im One Identity Manager können Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen (Administratorrollen, Abonnements, unwirksame Dienstpläne) und die Benutzerkonten in Kategorien eingeteilt. Die Kategorien sind frei wählbar und werden über eine Abbildungsvorschrift festgelegt. Jede der Kategorien erhält innerhalb dieser Abbildungsvorschrift eine bestimmte Position. Die Abbildungsvorschrift enthält verschiedene Tabellen. In der Benutzerkontentabelle legen Sie Ihre Kategorien für die zielsystemabhängigen Benutzerkonten fest. In den übrigen Tabellen geben Sie Ihre Kategorien für die Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstpläne an. Jede Tabelle enthält die Kategoriepositionen Position 1 bis Position 63.
Jedes Benutzerkonto kann einer oder mehreren Kategorien zugeordnet werden. Jede Gruppe kann ebenfalls einer oder mehreren Kategorien zugeteilt werden. Stimmt mindestens eine der Kategoriepositionen zwischen Benutzerkonto und zugewiesener Gruppe überein, wird die Gruppe an das Benutzerkonto vererbt. Ist die Gruppe oder das Benutzerkonto nicht in Kategorien eingestuft, dann wird die Gruppe ebenfalls an das Benutzerkonto vererbt.
HINWEIS: Die Vererbung über Kategorien wird nur bei der indirekten Zuweisung von Gruppen über hierarchische Rollen berücksichtigt. Bei der direkten Zuweisung von Gruppen an Benutzerkonten werden die Kategorien nicht berücksichtigt.
Tabelle 17: Beispiele für Kategorien
1 |
Standardbenutzer |
Standardberechtigung |
2 |
Systembenutzer |
Systembenutzerberechtigung |
3 |
Systemadministrator |
Systemadministratorberechtigung |
Abbildung 2: Beispiel für die Vererbung über Kategorien
Um die Vererbung über Kategorien zu nutzen
-
Definieren Sie im Manager am Azure Active Directory Mandanten die Kategorien.
-
Weisen Sie im Manager die Kategorien den Benutzerkonten über ihre Stammdaten zu.
-
Weisen Sie im Manager die Kategorien den Gruppen über ihre Stammdaten zu.
Verwandte Themen
Übersicht aller Zuweisungen
Für einige Objekte, wie beispielsweise Berechtigungen, Complianceregeln oder Rollen wird der Bericht Übersicht aller Zuweisungen angezeigt. Der Bericht ermittelt alle Rollen, wie beispielsweise Abteilungen, Kostenstellen, Standorte, Geschäftsrollen und IT Shop Strukturen, in denen sich Identitäten befinden, die das gewählte Basisobjekt besitzen. Dabei werden sowohl direkte als auch indirekte Zuweisungen des Basisobjektes berücksichtigt.
Beispiele:
-
Wird der Bericht für eine Ressource erstellt, werden alle Rollen ermittelt, in denen sich Identitäten befinden, die diese Ressource besitzen.
-
Wird der Bericht für eine Gruppe oder andere Systemberechtigung erstellt, werden alle Rollen ermittelt, in denen sich Identitäten befinden, die diese Gruppe oder Systemberechtigung besitzen.
-
Wird der Bericht für eine Complianceregel erstellt, werden alle Rollen ermittelt, in denen sich Identitäten befinden, die diese Complianceregel verletzen.
-
Wird der Bericht für eine Abteilung erstellt, werden alle Rollen ermittelt, in denen die Identitäten der gewählten Abteilung ebenfalls Mitglied sind.
-
Wird der Bericht für eine Geschäftsrolle erstellt, werden alle Rollen ermittelt, in denen die Identitäten der gewählten Geschäftsrolle ebenfalls Mitglied sind.
Um detaillierte Informationen über Zuweisungen anzuzeigen
-
Um den Bericht anzuzeigen, wählen Sie in der Navigation oder in der Ergebnisliste das Basisobjekt und wählen Sie den Bericht Übersicht aller Zuweisungen.
-
Wählen Sie über die Schaltfläche Verwendet von in der Symbolleiste des Berichtes die Rollenklasse, für die Sie ermitteln möchten, ob es Rollen gibt, in denen sich Identitäten mit dem ausgewählten Basisobjekt befinden.
Angezeigt werden alle Rollen der gewählten Rollenklasse. Die Färbung der Steuerelemente zeigt an, in welcher Rolle sich Identitäten befinden, denen das ausgewählte Basisobjekt zugewiesen ist. Die Bedeutung der Steuerelemente des Berichts ist in einer separaten Legende erläutert. Die Legende erreichen Sie über das Symbol in der Symbolleiste des Berichtes.
-
Mit einem Maus-Doppelklick auf das Steuerelement einer Rolle zeigen Sie alle untergeordneten Rollen der ausgewählten Rolle an.
-
Mit einem einfachen Mausklick auf die Schaltfläche im Steuerelement einer Rolle zeigen Sie alle Identitäten dieser Rolle an, die das Basisobjekt besitzen.
-
Über den Pfeil rechts neben der Schaltfläche starten Sie einen Assistenten, mit dem Sie die Liste der angezeigten Identitäten zur Nachverfolgung speichern können. Dabei wird eine neue Geschäftsrolle erstellt und die Identitäten werden der Geschäftsrolle zugeordnet.
Abbildung 3: Symbolleiste des Berichts Übersicht aller Zuweisungen
Tabelle 18: Bedeutung der Symbole in der Symbolleiste des Berichts
|
Anzeigen der Legende mit der Bedeutung der Steuerelemente des Berichts. |
|
Speichern der aktuellen Ansicht des Berichts als Bild. |
|
Auswählen der Rollenklasse, über die der Bericht erstellt werden soll. |
|
Anzeige aller Rollen oder Anzeige der betroffenen Rolle. |
Managen von Zuweisungen von Azure Active Directory Administratorrollen
Im One Identity Manager können Sie die Azure Active Directory Administratorrollen direkt an die Benutzerkonten zuweisen oder über Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen vererben. Des Weiteren können Benutzer die Administratorrollen über das Web Portal bestellen. Dazu werden die Administratorrollen im IT Shop bereitgestellt.
Detaillierte Informationen zum Thema
Zuweisen von Azure Active Directory Administratorrollen an Azure Active Directory Benutzerkonten
Azure Active Directory Administratorrollen können indirekt oder direkt an Azure Active Directory Benutzerkonten zugewiesen werden.
Bei der indirekten Zuweisung werden Identitäten und Azure Active Directory Administratorrollen in hierarchische Rollen, wie Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen eingeordnet. Aus der Position innerhalb der Hierarchie und der Vererbungsrichtung werden die Azure Active Directory Administratorrollen berechnet, die einer Identität zugewiesen sind. Wenn Sie eine Identität in Rollen aufnehmen und die Identität ein Azure Active Directory Benutzerkonto besitzt, dann wird dieses Azure Active Directory Benutzerkonto in die Azure Active Directory Administratorrollen aufgenommen.
Des Weiteren können Azure Active Directory Administratorrollen im Web Portal bestellt werden. Dazu werden Identitäten als Kunden in einen Shop aufgenommen. Alle Azure Active Directory Administratorrollen , die als Produkte diesem Shop zugewiesen sind, können von den Kunden bestellt werden. Bestellte Azure Active Directory Administratorrollen werden nach erfolgreicher Genehmigung den Identitäten zugewiesen.
Über Systemrollen können Azure Active Directory Administratorrollen zusammengefasst und als Paket an Identitäten zugewiesen werden. Sie können Systemrollen erstellen, die ausschließlich Azure Active Directory Administratorrollen enthalten. Ebenso können Sie in einer Systemrolle beliebige Unternehmensressourcen zusammenfassen.
Um auf Sonderanforderungen schnell zu reagieren, können Sie die Azure Active Directory Administratorrollen auch direkt an Azure Active Directory Benutzerkonten zuweisen.
Ausführliche Informationen finden Sie in den folgenden Handbüchern.
Grundlagen zur Zuweisung von Unternehmensressourcen und zur Vererbung von Unternehmensressourcen |
One Identity Manager Administrationshandbuch für das Identity Management Basismodul
One Identity Manager Administrationshandbuch für Geschäftsrollen |
Zuweisung von Unternehmensressourcen über IT Shop-Bestellungen |
One Identity Manager Administrationshandbuch für IT Shop |
Systemrollen |
One Identity Manager Administrationshandbuch für Systemrollen |
Detaillierte Informationen zum Thema