Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung kundendefinierter Zielsysteme

Verwalten kundendefinierter Zielsysteme Einrichten der Skript-gesteuerten Provisionierung der Daten in ein kundendefiniertes Zielsystem Managen von Benutzerkonten und Identitäten Managen der Zuweisungen von Gruppen und Systemberechtigungen Bereitstellen von Anmeldeinformationen für Benutzerkonten Abbildung der Objekte für kundenspezifische Zielsysteme im One Identity Manager Behandeln der Objekte kundendefinierter Zielsysteme im Web Portal Basisdaten für kundendefinierte Zielsysteme Konfigurationsparameter für die Verwaltung kundendefinierter Zielsysteme

Benutzerkonten direkt an eine Systemberechtigung zuweisen

Um auf Sonderanforderungen schnell zu reagieren, können Sie die Systemberechtigung direkt an Benutzerkonten zuweisen. Systemberechtigungen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.

Um Benutzerkonten direkt an eine Systemberechtigung zuzuweisen

  1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Systemberechtigungen 1.

    - ODER -

    Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Systemberechtigungen 2.

    - ODER -

    Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Systemberechtigungen 3.

  2. Wählen Sie in der Ergebnisliste die Systemberechtigung.

  3. Wählen Sie die Aufgabe Benutzerkonten zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Benutzerkonten zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Benutzerkonten entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie das Benutzerkonto und doppelklicken Sie .

  5. Speichern Sie die Änderungen.
Verwandte Themen

Gruppen direkt an ein Benutzerkonto zuweisen

Um auf Sonderanforderungen schnell zu reagieren, können Sie einem Benutzerkonto die Gruppen direkt zuweisen. Gruppen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.

Um Gruppen direkt an ein Benutzerkonto zuzuweisen

  1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Gruppen und Systemberechtigungen zuweisen.

  4. Wählen Sie den Tabreiter Gruppen.

  5. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Gruppen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Gruppe und doppelklicken Sie .

  6. Speichern Sie die Änderungen.
Verwandte Themen

Systemberechtigungen direkt an ein Benutzerkonto zuweisen

Um auf Sonderanforderungen schnell zu reagieren, können Sie einem Benutzerkonto die Systemberechtigungen direkt zuweisen. Systemberechtigungen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.

Um Systemberechtigungen direkt an ein Benutzerkonto zuzuweisen

  1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Gruppen und Systemberechtigungen zuweisen.

  4. Wählen Sie den Tabreiter Systemberechtigungen 1.

    - ODER -

    Wählen Sie den Tabreiter Systemberechtigungen 2.

    - ODER -

    Wählen Sie den Tabreiter Systemberechtigungen 3.

  5. Weisen Sie im Bereich Zuordnungen hinzufügen die Systemberechtigungen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Systemberechtigungen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Systemberechtigung und doppelklicken Sie .

  6. Speichern Sie die Änderungen.
Verwandte Themen

Wirksamkeit von Mitgliedschaften in Gruppen und Systemberechtigungen

HINWEIS: Die hier für Gruppen beschriebene Funktionalität gilt gleichermaßen für die Systemberechtigungen.

Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Identität zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.

Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.

HINWEIS:

  • Ein wechselseitiger Ausschluss zweier Gruppen kann nicht definiert werden. Das heißt, die Festlegung "Gruppe A schließt Gruppe B aus" UND "Gruppe B schließt Gruppe A aus" ist nicht zulässig.
  • Für eine Gruppe muss jede auszuschließende Gruppe einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
  • Ob die Mitgliedschaft einer ausgeschlossenen Gruppe in einer anderen Gruppe zulässig ist (TabelleUNSGroupBInUNSGroupB), wird durch den One Identity Manager nicht überprüft.

Die Wirksamkeit der Zuweisungen wird in den Tabellen UNSAccountBInUNSGroupB/UNSAccountBHasUNSGroupB und BaseTreeHasUNSGroupB über die Spalte XIsInEffect abgebildet.

Beispiel: Wirksamkeit von Gruppenmitgliedschaften
  • In einem Zielsystem ist eine Gruppe A mit Berechtigungen zum Auslösen von Bestellungen definiert. Eine Gruppe B berechtigt zum Anweisen von Zahlungen. Eine Gruppe C berechtigt zum Prüfen von Rechnungen.
  • Gruppe A wird über die Abteilung "Marketing", Gruppe B über die Abteilung "Finanzen" und Gruppe C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.

Clara Harris hat ein Benutzerkonto in diesem Zielsystem. Sie gehört primär der Abteilung "Marketing" an. Sekundär sind ihr die Geschäftsrolle "Kontrollgruppe" und die Abteilung "Finanzen" zugewiesen. Ohne Ausschlussdefinition erhält das Benutzerkonto alle Berechtigungen der Gruppen A, B und C.

Durch geeignete Maßnahmen soll verhindert werden, dass eine Identität sowohl Bestellungen auslösen als auch Rechnungen zur Zahlung anweisen kann. Das heißt, die Gruppen A und B schließen sich aus. Eine Identität, die Rechnungen prüft, darf ebenfalls keine Rechnungen zur Zahlung anweisen. Das heißt, die Gruppen B und C schließen sich aus.

Tabelle 13: Festlegen der ausgeschlossenen Gruppen (Tabelle UNSGroupBExclusion)

Wirksame Gruppe

Ausgeschlossene Gruppe

Gruppe A

Gruppe B

Gruppe A

Gruppe C

Gruppe B

Tabelle 14: Wirksame Zuweisungen

Identität

Mitglied in Rolle

Wirksame Gruppe

Ben King

Marketing

Gruppe A

Jan Bloggs

Marketing, Finanzen

Gruppe B

Clara Harris

Marketing, Finanzen, Kontrollgruppe

Gruppe C

Jenny Basset

Marketing, Kontrollgruppe

Gruppe A, Gruppe C

Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.

Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Das heißt, die Identität ist berechtigt Bestellungen auszulösen und Rechnungen zu prüfen. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.

Tabelle 15: Ausgeschlossene Gruppen und wirksame Zuweisungen

Identität

Mitglied in Rolle

Zugewiesene Gruppe

Ausgeschlossene Gruppe

Wirksame Gruppe

Jenny Basset

 

Marketing

Gruppe A

 

Gruppe C

 

Kontrollgruppe

Gruppe C

Gruppe B

Gruppe A

Voraussetzungen
  • Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.

    Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.

    HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

  • Sich ausschließende Gruppen gehören zum selben Zielsystem oder zum selben Zielsystemtyp.

HINWEIS: Innerhalb eines Zielsystemtyps werden Gruppen, die sich gegenseitig ausschließen, unabhängig vom Zielsystem ermittelt. Diese Besonderheit muss bei der Ausschlussdefinition berücksichtigt werden.

Um Gruppen auszuschließen

  1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Gruppen.

  2. Wählen Sie in der Ergebnisliste eine Gruppe.

  3. Wählen Sie die Aufgabe Gruppen ausschließen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.

  5. Speichern Sie die Änderungen.

Um Systemberechtigungen auszuschließen

  1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Systemberechtigungen 1.

    - ODER -

    Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Systemberechtigungen 2.

    - ODER -

    Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Systemberechtigungen 3.

  2. Wählen Sie in der Ergebnisliste eine Systemberechtigung.

  3. Passend zur gewählten Systemberechtigung, wählen Sie die Aufgabe Systemberechtigungen 1 ausschließen, Systemberechtigungen 2 ausschließen oder Systemberechtigungen 3 ausschließen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Systemberechtigungen zu, die sich mit der gewählten Systemberechtigung ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Systemberechtigungen, die sich nicht länger ausschließen.

  5. Speichern Sie die Änderungen.
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating