Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für Geschäftsrollen

Geschäftsrollen verwalten
One Identity Manager Benutzer für Geschäftsrollen Grundlagen für den Aufbau von hierarchischen Rollen Grundlagen zur Zuweisung von Unternehmensressourcen Grundlagen zur Berechnung der Vererbung Vorbereiten der Geschäftsrollen für die Zuweisung von Unternehmensressourcen Basisdaten für Geschäftsrollen Geschäftsrollen erstellen und bearbeiten Identitäten, Geräte und Arbeitsplätze an Geschäftsrollen zuweisen Unternehmensressourcen an Geschäftsrollen zuweisen Analyse von Rollenmitgliedschaften und Zuweisungen an Identitäten IT Betriebsdaten für Geschäftsrollen einrichten Dynamische Rollen für Geschäftsrollen erstellen Abteilungen, Kostenstellen und Standorte an Geschäftsrollen zuweisen Vererbungsausschluss für Geschäftsrollen festlegen Zusatzeigenschaften an Geschäftsrollen zuweisen Zuweisungsressourcen für Geschäftsrollen erzeugen Dynamische Rollen für Geschäftsrollen mit fehlerhaft ausgeschlossenen Identitäten Zertifizierung von Geschäftsrollen Berichte über Geschäftsrollen
Role Mining im One Identity Manager

Durchführen einer Analyse im Analyzer

Mit dem Analyzer führen Sie folgende Schritte aus:

  1. Legen Sie das Analyseverfahren fest.

    • Analysedaten mit dem Assistenten wählen: Die Ausgangsdaten werden mit einem Assistenten zusammengestellt.

    • Active Directory Berechtigungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit Active Directory Gruppenmitgliedschaften analysiert.

      HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

    • Active Directory Berechtigungen und Abteilungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit Active Directory Gruppenmitgliedschaften analysiert. Zusätzlich werden Abteilungen mit Active Directory Gruppen in die Analyse einbezogen.

      HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

    • LDAP Berechtigungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit LDAP Gruppenmitgliedschaften analysiert.

      HINWEIS: Die Analysemethode steht zur Verfügung, wenn das LDAP Modul vorhanden ist.

  2. Prüfen Sie die Analyseergebnisse.

  3. Erstellen Sie bei Bedarf neue Geschäftsrollen und ordnen Sie die Identitäten zu. Übernehmen Sie die vorgeschlagenen Änderungen in die One Identity Manager-Datenbank.

Detaillierte Informationen zum Thema

Analysedaten mit dem Assistenten auswählen

Zu Beginn der Analyse stellen Sie die Ausgangsdaten zusammen. Der Analyzer greift auf sämtliche in seiner eigenen Datenbank vorhandenen Berechtigungsinformationen zurück und erstellt eine Zuordnungstabelle mit Identitäten und ihren Berechtigungen. Ergebnis können Vorschläge für Einzelrollen aus der Analyse eines einzelnen Anwendungssystems oder auch systemübergreifende Rollen aus der Analyse von Berechtigungen mehrerer Systeme sein.

Um die Ausgangsdaten mit dem Assistenten auszuwählen

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

  2. Öffnen Sie das Launchpad und wählen Sie im Bereich Verwalten den Eintrag Geschäftsrollen analysieren. Das Programm Analyzer wird gestartet.

  3. Auf der Startseite des Analyzers wählen Sie das Analyseverfahren Analysedaten mit Assistenten wählen und klicken Sie Start.

    Der Assistent wird gestartet.

  4. Auf der Startseite legen Sie die Identitäten fest, die analysiert werden sollen. Wählen Sie eines der folgenden Auswahlverfahren und klicken Sie Weiter.

    • Strukturen: Die Auswahl der Identitäten erfolgt über die im One Identity Manager enthalten Organisationen und Geschäftsrollen.

      1. Wählen Sie in der Liste Strukturen die Organisation oder Geschäftsrolle zur Analyse aus.

      2. In der Liste Identitäten werden die Identitäten angezeigt, die der Struktur zugeordnet sind. Über die Symbole im rechten Bereich der Identitätenliste können Sie die angezeigten Identitäten weiter filtern.

        Tabelle 19: Symbole zum Filtern der Identitäten
        Symbol Bedeutung

        Indirekt zugeordnete Identitäten anzeigen.

        Direkt zugeordnete Identitäten anzeigen.

        Identitäten untergeordneter Strukturen anzeigen.

    • Filterassistent: Legen Sie die Bedingung fest, anhand der die Identitäten aus der Datenbank ermittelt werden. Der Assistent unterstützt Sie bei der Formulierung einer Bedingung (Where-Klausel) für Datenbankabfragen. Die komplette Datenbankabfrage wird intern zusammengesetzt. Die Datenbankabfrage bezieht sich auf die Tabelle Person.

      Ausführliche Informationen zum Umgang mit dem Assistenten finden Sie im One Identity Manager Anwenderhandbuch für die Benutzeroberfläche der One Identity Manager-Werkzeuge.

    • Auswahlliste: In der Liste werden alle Identitäten der One Identity Manager-Datenbank angezeigt. Über Shift + Auswahl oder Strg + Auswahl wählen Sie mehrere Identitäten zur Analyse aus.

    • Assistentenvorlage laden: Laden Sie eine vorhandene Konfiguration. Wählen Sie die Vorlagedatei und klicken Sie Öffnen.

  5. Auf der Seite Benutzerkonten wählen wählen Sie das Zielsystem, dessen Benutzerkonten und Berechtigungen in die Analyse einbezogen werden. Über Strg + Auswahl können Sie mehrere Zielsystem auswählen.

  6. Auf der Seite Analyseverfahren wählen legen Sie das Analyseverfahren fest. Zur Auswahl stehen folgende Verfahren.

    Tabelle 20: Analyseverfahren
    Analyseverfahren Beschreibung

    Einfache Clusteranalyse/Komplexe Clusteranalyse

    Die Berechtigungen werden mittels Clusteranalyseverfahren zu neuen Geschäftsrollen gruppiert und die Identitäten zugeordnet.

    Der Analyzer unterstützt das automatisierte Role Mining durch zwei verschiedene Clusteranalyseverfahren, die sich durch die Berechnung der Abstände zwischen einzelnen Clustern unterscheiden

    Entscheidungsbaum

    Die Berechtigungen werden in einem Entscheidungsbaum zu neuen Geschäftsrollen gruppiert und die Identitäten zugeordnet. Als Entscheidungsmerkmal wird die Anzahl der Gruppenmitglieder genutzt.

    Strukturzuordnung

    Die Berechtigungen werden einem bestehendem Strukturbaum zugeordnet. Die Verwendung von bereits vorhandenen Strukturen, beispielsweise organisatorische Strukturen aus ERP-Systemen, ist möglich.

    Berechtigungsanalyse

    Mit Hilfe der Berechtigungsanalyse werden die Berechtigungen der Identitäten analysiert. Geschäftsrollen werden frei definiert und die Zuordnung von Berechtigungen und Identitäten an Hand der vorhandenen Berechtigungen manuell bewertet.

  7. Auf der letzten Seite starten Sie die Analyse.

    1. (Optional) Um die Konfiguration zu einem späteren Zeitpunkt wieder zu verwenden, aktivieren Sie die Option Konfiguration als Vorlagedatei speichern. Wählen Sie über den Dateibrowser den Ablagepfad, geben Sie einen Dateinamen an und klicken Sie Speichern.

    2. Auf der letzten Seite klicken Sie Fertig, um die Analyse zu starten.

      Die Analyseinformationen werden geladen und die Analyse gestartet. Anschließend werden im Analyzer die Analyseergebnisse dargestellt.

  8. Prüfen Sie die Analyseergebnisse.

  9. Erstellen Sie bei Bedarf neue Geschäftsrollen und ordnen Sie die Identitäten zu. Übernehmen Sie die vorgeschlagenen Änderungen in die One Identity Manager-Datenbank.

Verwandte Themen

Vordefinierte Analysen ausführen

Es werden folgende vordefinierte Analysen zur Verfügung gestellt:

  • Active Directory Berechtigungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit Active Directory Gruppenmitgliedschaften analysiert.

    HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

  • Active Directory Berechtigungen und Abteilungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit Active Directory Gruppenmitgliedschaften analysiert. Zusätzlich werden Abteilungen mit Active Directory Gruppen in die Analyse einbezogen.

    HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

  • LDAP Berechtigungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit LDAP Gruppenmitgliedschaften analysiert.

    HINWEIS: Die Analysemethode steht zur Verfügung, wenn das LDAP Modul vorhanden ist.

Um eine vordefinierte Analyse zu starten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

  2. Öffnen Sie das Launchpad und wählen Sie im Bereich Verwalten den Eintrag Geschäftsrollen analysieren. Das Programm Analyzer wird gestartet.

  3. Auf der Startseite des Analyzers wählen Sie das vordefinierte Analyseverfahren und klicken Sie Start.

    Die Analyseinformationen werden geladen und die Analyse wird sofort gestartet. Abhängig von der Datenmenge, kann die Analyse einige Zeit in Anspruch nehmen. Anschließend werden im Analyzer die Analyseergebnisse dargestellt.

    HINWEIS: Wenn Sie die Programmeinstellung Informationsfenster zur Datenanalyse am Ende automatisch schließen deaktiviert haben, werden Informationen zur Analyse im Fenster Clusteranalyse angezeigt. Über Erweitern sehen Sie detaillierte Informationen. Über Fertig schließen Sie das Informationsfenster.

  4. Prüfen Sie die Analyseergebnisse.

  5. Erstellen Sie bei Bedarf neue Geschäftsrollen und ordnen Sie die Identitäten zu. Übernehmen Sie die vorgeschlagenen Änderungen in die One Identity Manager-Datenbank.

Verwandte Themen

Auswertung der Analyse

Da das mathematische Verfahren der Clusteranalyse nur einen Trend vorgibt, sollten Sie beim Role Mining die Geschäftsrollen immer mit den unternehmensspezifischen Strukturen abgleichen. Neben der Umbenennung von Knoten können Sie Zuweisungen der Identitäten und Berechtigungen einer Geschäftsrolle auch direkt bearbeiten. Mit dem Analyzer können Sie neue Geschäftsrollen erstellen und Identitäten direkt zuordnen. Das Hinzufügen oder das Verschieben von Identitäten in eine bestimmte Geschäftsrolle lässt sich damit einfach umsetzen.

Der Analyzer zeigt das Ergebnis seiner Analyse in einem mehr geteilten Bildschirm an.

Abbildung 15: Darstellung der Analyseergebnisse

Im oberen linken Bereich (1) werden die durch die Analyse gefundenen Cluster in einem Strukturbaum angezeigt. Die Benennung der gebildeten Knoten erfolgt bei der Auswahl der Analysedaten mittels Assistenten durch die zuerst gefundene Identität. Bei vordefinierten Analyseverfahren richtet sich die Benennung nach der in den Programmeinstellungen festgelegten Regel. Die Bezeichnungen der können Sie über F2 oder das Kontextmenü Umbenennen ändern.

In den Spalten Identitäten und Berechtigungen grafisch die Anzahl der Vorkommen abgebildet. Bei beiden Spalten wird die Anzeige normiert, das heißt die Gruppe mit der höchsten Anzahl von zugeordneten Identitäten oder Berechtigungen entspricht 100% und wird mit maximalen Balken dargestellt.

Tabelle 21: Bedeutung der Einträge im Kontextmenü im Bereich 1
Eintrag im Kontextmenü Bedeutung

Einfügen

Die Geschäftsrolle wird zur Übernahme in die Datenbank gekennzeichnet.

Rekursiv einfügen

Die Geschäftsrolle und ihre untergeordneten Geschäftsrollen werden zur Übernahme in die Datenbank gekennzeichnet.

Löschen

Die Geschäftsrolle wird aus der Datenübernahme entfernt.

Anlegen

Es wird eine neue Geschäftsrolle definiert.

Löschen

Die Geschäftsrolle wird gelöscht.

Umbenennen

Die Geschäftsrolle wird umbenannt.

Geschäftsrollennamen generieren

Die Bezeichnungen der Geschäftsrollen werden entsprechend der festgelegten Regel (Menü Datenbank | Einstellungen) erzeugt.

Geschäftsrollen optimieren

Die Geschäftsrollen werden optimiert. Leere Geschäftsrollen werden gelöscht.

Eigenschaften

Es werden weitere Eigenschaften der Geschäftsrolle wie Benutzerkonten und Berechtigungen angezeigt.

Bei der Auswahl eines Strukturknotens werden im rechten Bereich (2), die in ihm enthaltenen Identitäten (oben) und Berechtigungen (unten) aufgelistet. Für Identitäten können Sie mit Hilfe einer farbigen Ähnlichkeitsdarstellung feststellen, bei welchen Berechtigungen es untereinander Übereinstimmungen gibt und in wie weit die tatsächliche Berechtigungssituation des Benutzers zu der Berechtigungszuordnung der gewählten Rolle passt. Übereinstimmende Gruppenmitgliedschaften werden grün, während abweichende, zusätzliche Gruppenmitgliedschaften rot angezeigt werden. Direkt darunter werden die einzelnen Berechtigungen von Identitäten in den analysierten Zielsystemen angezeigt. Abhängig von den Programmeinstellungen wird zusätzlich eine Wichtung der Berechtigungen angezeigt.

Tabelle 22: Bedeutung der Einträge im Kontextmenü im Bereich (2)
Eintrag im Kontextmenü Bedeutung

Zur Geschäftsrolle hinzufügen

Die Identität/Berechtigung wird zur im Strukturbaum ausgewählten Geschäftsrolle hinzugefügt.

Aus Geschäftsrolle entfernen

Die Identität/Berechtigung wird aus der im Strukturbaum ausgewählten Geschäftsrolle entfernt.

Vergleichen

Die Identitäten werden miteinander verglichen. Die Anzeige erfolgt im Bereich 3.

Zuweisungen markieren

Die Zuweisungen der Identität/Berechtigung werden im Strukturbaum markiert.

Eigenschaften

Es werden weitere Eigenschaften des aktiven Objekts angezeigt.

Durch eine Mehrfachauswahl in der Identitätenliste können Sie die Berechtigungsmitgliedschaften einzelner Identitäten im linken unteren Bereich (3) weiter analysieren und direkt mit anderen Identitäten vergleichen.

Um Mitgliedschaften von Identitäten zu vergleichen

  • Wählen Sie im rechten Bereich (2) die Identitäten mittels aus Strg + Auswahl oder Umschalt + Auswahl aus.

  • Starten Sie über den Kontextmenüeintrag Vergleichen den Vergleich.

TIPP: Durch die Auswahl einer Identität in diesem Bereich per Mausklick legen Sie diese Identität als Referenzidentität in der Anzeige fest. Die farbliche Ähnlichkeitskennung wird an dieser Identität ausgerichtet.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating