立即与支持人员聊天
与支持团队交流

Identity Manager 9.1 - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von PAM Benutzerkonten und Personen Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM Objekten im One Identity Manager PAM Zugriffsanforderungen Behandeln von PAM Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Anwendungsrollen für Eigentümer von PAM Objekten manuell festlegen

Bei der automatische Ermittlung der Eigentümer werden Anwendungsrollen erstellt. Sie können weitere Anwendungsrollen manuell festlegen.

Um die Anwendungsrolle für die Eigentümer eines PAM Objektes festzulegen

  1. Wählen Sie im Manager in der Kategorie Privileged Account Management > Appliances > <Appliance> > Privilegierte Objekte einen der folgenden Filter.

    • Um eine Anwendungsrolle für ein Asset festzulegen, wählen Sie Assets.

    • Um eine Anwendungsrolle für eine Assetgruppe festzulegen, wählen Sie Assetgruppen.

    • Um eine Anwendungsrolle für ein Assetkonto festzulegen, wählen Sie Assetkonten.

    • Um eine Anwendungsrolle für ein Verzeichniskonto festzulegen, wählen Sie Verzeichniskonten.

    • Um eine Anwendungsrolle für eine Kontogruppe festzulegen, wählen Sie Kontogruppen.

  2. Wählen Sie in der Ergebnisliste das PAM Objekt.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Wählen Sie auf dem Tabreiter Allgemein in der Auswahlliste Eigentümer (Anwendungsrolle) die Anwendungsrolle.

    - ODER -

    Klicken Sie neben der Auswahlliste Eigentümer (Anwendungsrolle) auf , um eine neue Anwendungsrolle zu erstellen.

    1. Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle Privileged Account Governance | Asset- und Konteneigentümer zu.

    2. Klicken Sie Ok, um die neue Anwendungsrolle zu übernehmen.

  5. Weisen Sie die Personen, die Eigentümer sind, der Anwendungsrolle zu.

Verwandte Themen

Konfigurieren der PAM Zugriffsanforderungsrichtlinien

Zugriffsanforderungen für Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kontogruppen können nur bestellt werden, wenn in der Zugriffsanforderungsrichtlinie die Option Wirksam für One Identity Manager aktiviert ist.

Um die Zugriffsanforderungsrichtlinie zu konfigurieren

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Appliances > <Appliance> > Nutzungsrechte > <Nutzungsrecht>.

  2. Wählen Sie in der Ergebnisliste die Zugriffsanforderungsrichtlinie.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Prüfen Sie auf dem Tabreiter Allgemein die Option Wirksam für One Identity Manager.

    • Ist die Option aktiviert, können Zugriffsanforderungen für Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kontogruppen aus dem Bereich der Zugriffsanforderungsrichtlinie bestellt werden.

    • Ist die Option nicht aktiviert, ist die Bestellung von Zugriffsanforderungen für Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kontogruppen aus dem Bereich der Zugriffsanforderungsrichtlinie nicht möglich.

Verwandte Themen

Behandeln von PAM Objekten im Web Portal

Der One Identity Manager bietet seinen Benutzern die Möglichkeit, verschiedene Aufgaben unkompliziert über ein Web Portal zu erledigen.

  • Managen von Benutzerkonten und Personen

    Mit der Zuweisung einer Kontendefinition an ein IT Shop Regal kann die Kontendefinition von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Person, beispielsweise einen Manager, wird das Benutzerkonto angelegt.

  • Managen von Zuweisungen von Benutzergruppen

    Mit der Zuweisung einer Gruppe an ein IT Shop Regal kann die Gruppe von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Person wird die Gruppe zugewiesen.

    Manager und Administratoren von Organisationen können im Web Portal Gruppen an die Abteilungen, Kostenstellen oder Standorte zuweisen, für die sie verantwortlich sind. Die Gruppen werden an alle Personen vererbt, die Mitglied dieser Abteilungen, Kostenstellen oder Standorte sind.

    Wenn das Geschäftsrollenmodul vorhanden ist, können Manager und Administratoren von Geschäftsrollen im Web Portal Gruppen an die Geschäftsrollen zuweisen, für die sie verantwortlich sind. Die Gruppen werden an alle Personen vererbt, die Mitglied dieser Geschäftsrollen sind.

    Wenn das Systemrollenmodul vorhanden ist, können Verantwortliche von Systemrollen im Web Portal Gruppen an die Systemrollen zuweisen. Die Gruppen werden an alle Personen vererbt, denen diese Systemrollen zugewiesen sind.

  • Managen von Zugriffsanforderungen auf privilegierte Objekte

    Über das IT Shop Regal Identity & Access Lifecycle > Privilegierter Zugriff können Kennwort- und Sitzungsanforderungen für privilegierte Objekte eine PAM Systems bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Der Eigentümer des privilegierten Objektes, für das der Zugriff angefordert wird, genehmigt die Bestellung. Im PAM System wird eine entsprechende Zugriffsanforderung erstellt. Konnte die Zugriffsanforderung erfolgreich erstellt werden, kann sich der Benutzer am PAM System anmelden und das angeforderte Kennwort abrufen oder die angeforderte Sitzung starten.

  • Attestierung

    Wenn das Modul Attestierung vorhanden ist, kann die Richtigkeit der Eigenschaften von Zielsystemobjekten und von Berechtigungszuweisungen regelmäßig oder auf Anfrage bescheinigt werden. Die Eigentümer privilegierter Objekte attestieren den möglichen Zugriff von Benutzern auf diese privilegierten Objekte. Dafür werden im Manager Attestierungsrichtlinien konfiguriert. Die Attestierer nutzen das Web Portal, um Attestierungsvorgänge zu entscheiden.

  • Governance Administration

    Wenn das Modul Complianceregeln vorhanden ist, können Regeln definiert werden, die unzulässige Berechtigungszuweisungen identifizieren und deren Risiken bewerten. Die Regeln werden regelmäßig und bei Änderungen an den Objekten im One Identity Manager überprüft. Complianceregeln werden im Manager definiert. Verantwortliche Personen nutzen das Web Portal, um Regelverletzungen zu überprüfen, aufzulösen und Ausnahmegenehmigungen zu erteilen.

    Wenn das Modul Unternehmensrichtlinien vorhanden ist, können Unternehmensrichtlinien für die im One Identity Manager abgebildeten Zielsystemobjekte definiert und deren Risiken bewertet werden. Unternehmensrichtlinien werden im Manager definiert. Verantwortliche Personen nutzen das Web Portal, um Richtlinienverletzungen zu überprüfen und Ausnahmegenehmigungen zu erteilen.

  • Risikobewertung

    Über den Risikoindex von Gruppen kann das Risiko von Gruppenmitgliedschaften für das Unternehmen bewertet werden. Dafür stellt der One Identity Manager Standard-Berechnungsvorschriften bereit. Im Web Portal können die Berechnungsvorschriften modifiziert werden.

  • Berichte und Statistiken

    Das Web Portal stellt verschiedene Berichte und Statistiken über die Personen, Benutzerkonten, deren Berechtigungen und Risiken bereit.

Ausführliche Informationen zu den genannten Themen finden Sie unter Managen von PAM Benutzerkonten und Personen, Zuweisen von PAM Benutzergruppen an PAM Benutzerkonten im One Identity Manager, PAM Zugriffsanforderungen und in folgenden Handbüchern:

  • One Identity Manager Web Designer Web Portal Anwenderhandbuch

  • One Identity Manager Administrationshandbuch für Attestierungen

  • One Identity Manager Administrationshandbuch für Complianceregeln

  • One Identity Manager Administrationshandbuch für Unternehmensrichtlinien

  • One Identity Manager Administrationshandbuch für Risikobewertungen

Basisdaten für die Verwaltung eines Privileged Account Management Systems

Für die Verwaltung eines Privileged Account Management Systems im One Identity Manager sind folgende Basisdaten relevant.

  • Kontendefinitionen

    Um Benutzerkonten automatisch an Personen zu vergeben, kennt der One Identity Manager Kontendefinitionen. Kontendefinitionen können für jedes Zielsystem erzeugt werden. Hat eine Person noch kein Benutzerkonto in einem Zielsystem, wird durch die Zuweisung der Kontendefinition an eine Person ein neues Benutzerkonto erzeugt.

    Weitere Informationen finden Sie unter Kontendefinitionen für PAM Benutzerkonten.

  • Kennwortrichtlinien

    Der One Identity Manager unterstützt Sie beim Erstellen von komplexen Kennwortrichtlinien beispielsweise für Systembenutzerkennwörter, das zentrale Kennwort von Personen sowie für Kennwörter für die einzelnen Zielsysteme. Kennwortrichtlinien werden sowohl bei der Eingabe eines Kennwortes durch den Anwender als auch bei der Generierung von Zufallskennwörtern angewendet.

    In der Standardinstallation werden vordefinierte Kennwortrichtlinien mitgeliefert, die Sie nutzen können und bei Bedarf an Ihre Anforderungen anpassen können. Zusätzlich können Sie eigene Kennwortrichtlinien definieren.

    Weitere Informationen finden Sie unter Kennwortrichtlinien für PAM Benutzer.

  • Zielsystemtypen

    Zielsystemtypen werden für die Konfiguration des Zielsystemabgleichs benötigt. An den Zielsystemtypen werden die Tabellen gepflegt, die ausstehende Objekte enthalten können. Es werden Einstellungen für die Provisionierung von Mitgliedschaften und die Einzelobjektsynchronisation vorgenommen. Zusätzlich dient der Zielsystemtyp zur Abbildung der Objekte im Unified Namespace.

    Weitere Informationen finden Sie unter Ausstehende Objekte nachbearbeiten.

  • Zielsystemverantwortliche

    Im One Identity Manager ist eine Standardanwendungsrolle für die Zielsystemverantwortlichen vorhanden. Weisen Sie dieser Anwendungsrolle die Personen zu, die berechtigt sind, alle Appliances im One Identity Manager zu bearbeiten.

    Wenn Sie die Berechtigungen der Zielsystemverantwortlichen auf einzelne Appliances einschränken wollen, definieren Sie weitere Anwendungsrollen. Die Anwendungsrollen müssen der Standardanwendungsrolle untergeordnet sein.

    Weitere Informationen finden Sie unter Zielsystemverantwortliche für PAM Systeme.

  • Server

    Für die Verarbeitung der zielsystemspezifischen Prozesse im One Identity Manager muss der Synchronisationsserver mit seinen Serverfunktionen bekannt sein.

    Weitere Informationen finden Sie unter Jobserver für PAM-spezifische Prozessverarbeitung.

  • Eigentümer privilegierter Objekte

    Im One Identity Manager ist eine Standardanwendungsrolle für die Eigentümer privilegierter Objekte wie PAM Assets, PAM Assetkonten oder PAM Verzeichniskonten vorhanden. Die Eigentümer werden in den Standard-Entscheidungsworkflows als Entscheider und Attestierer berücksichtigt.

    Weitere Informationen finden Sie unter Eigentümer von PAM Objekten.

相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级