立即与支持人员聊天
与支持团队交流

Identity Manager 9.1.1 - Administrationshandbuch für Geschäftsrollen

Geschäftsrollen verwalten
One Identity Manager Benutzer für Geschäftsrollen Grundlagen für den Aufbau von hierarchischen Rollen Grundlagen zur Zuweisung von Unternehmensressourcen Grundlagen zur Berechnung der Vererbung Vorbereiten der Geschäftsrollen für die Zuweisung von Unternehmensressourcen Basisdaten für Geschäftsrollen Geschäftsrollen erstellen und bearbeiten Personen, Geräte und Arbeitsplätze an Geschäftsrollen zuweisen Unternehmensressourcen an Geschäftsrollen zuweisen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen IT Betriebsdaten für Geschäftsrollen einrichten Dynamische Rollen für Geschäftsrollen erstellen Organisationen zuweisen Vererbungsausschluss für Geschäftsrollen festlegen Zusatzeigenschaften an Geschäftsrollen zuweisen Zuweisungsressourcen für Geschäftsrollen erzeugen Dynamische Rollen für Geschäftsrollen mit fehlerhaft ausgeschlossenen Personen Zertifizierung von Geschäftsrollen Berichte über Geschäftsrollen
Role Mining im One Identity Manager

Durchführen einer Analyse im Analyzer

Mit dem Analyzer führen Sie folgende Schritte aus:

  1. Legen Sie das Analyseverfahren fest.

    • Analysedaten mit dem Assistenten wählen: Die Ausgangsdaten werden mit einem Assistenten zusammengestellt.

    • Active Directory Berechtigungen der Personen: Es werden die Berechtigungen aller Personen mit Active Directory Gruppenmitgliedschaften analysiert.

      HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

    • Active Directory Berechtigungen und Abteilungen der Personen: Es werden die Berechtigungen aller Personen mit Active Directory Gruppenmitgliedschaften analysiert. Zusätzlich werden Abteilungen mit Active Directory Gruppen in die Analyse einbezogen.

      HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

    • LDAP Berechtigungen der Personen: Es werden die Berechtigungen aller Personen mit LDAP Gruppenmitgliedschaften analysiert.

      HINWEIS: Die Analysemethode steht zur Verfügung, wenn das LDAP Modul vorhanden ist.

  2. Prüfen Sie die Analyseergebnisse.

  3. Erstellen Sie bei Bedarf neue Geschäftsrollen und ordnen Sie die Personen zu. Übernehmen Sie die vorgeschlagenen Änderungen in die One Identity Manager-Datenbank.

Detaillierte Informationen zum Thema

Analysedaten mit dem Assistenten auswählen

Zu Beginn der Analyse stellen Sie die Ausgangsdaten zusammen. Der Analyzer greift auf sämtliche in seiner eigenen Datenbank vorhandenen Berechtigungsinformationen zurück und erstellt eine Zuordnungstabelle mit Personen und ihren Berechtigungen. Ergebnis können Vorschläge für Einzelrollen aus der Analyse eines einzelnen Anwendungssystems oder auch systemübergreifende Rollen aus der Analyse von Berechtigungen mehrerer Systeme sein.

Um die Ausgangsdaten mit dem Assistenten auszuwählen

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

  2. Öffnen Sie das Launchpad und wählen Sie im Bereich Verwalten den Eintrag Geschäftsrollen analysieren. Das Programm Analyzer wird gestartet.

  3. Auf der Startseite des Analyzers wählen Sie das Analyseverfahren Analysedaten mit Assistenten wählen und klicken Sie Start.

    Der Assistent wird gestartet.

  4. Auf der Startseite legen Sie den Personenkreis zur Analyse fest. Wählen Sie eines der folgenden Auswahlverfahren und klicken Sie Weiter.

    • Strukturen: Die Auswahl der Personen erfolgt über die im One Identity Manager enthalten Organisationen und Geschäftsrollen.

      1. Wählen Sie in der Liste Strukturen die Organisation oder Geschäftsrolle zur Analyse aus.

      2. In der Liste Personen werden die Personen angezeigt, die der Struktur zugeordnet sind. Über die Symbole im rechten Bereich der Personenliste können Sie die angezeigten Personen weiter filtern.

        Tabelle 18: Symbole zum Filtern der Personenliste
        Symbol Bedeutung

        Indirekt zugeordnete Personen anzeigen.

        Direkt zugeordnete Personen anzeigen.

        Personen untergeordneter Strukturen anzeigen.

    • Filterassistent: Legen Sie die Bedingung fest, anhand der die Personen aus der Datenbank ermittelt werden. Der Assistent unterstützt Sie bei der Formulierung einer Bedingung (Where-Klausel) für Datenbankabfragen. Die komplette Datenbankabfrage wird intern zusammengesetzt. Die Datenbankabfrage bezieht sich auf die Tabelle Person.

      Ausführliche Informationen zum Umgang mit dem Assistenten finden Sie im One Identity Manager Anwenderhandbuch für die Benutzeroberfläche der One Identity Manager-Werkzeuge.

    • Auswahlliste: In der Liste werden alle Personen der One Identity Manager-Datenbank angezeigt. Über Shift + Auswahl oder Strg + Auswahl wählen Sie mehrere Personen zur Analyse aus.

    • Assistentenvorlage laden: Laden Sie eine vorhandene Konfiguration. Wählen Sie die Vorlagedatei und klicken Sie Öffnen.

  5. Auf der Seite Benutzerkonten wählen wählen Sie das Zielsystem, dessen Benutzerkonten und Berechtigungen in die Analyse einbezogen werden. Über Strg + Auswahl können Sie mehrere Zielsystem auswählen.

  6. Auf der Seite Analyseverfahren wählen legen Sie das Analyseverfahren fest. Zur Auswahl stehen folgende Verfahren.

    Tabelle 19: Analyseverfahren
    Analyseverfahren Beschreibung

    Einfache Clusteranalyse/Komplexe Clusteranalyse

    Die Berechtigungen werden mittels Clusteranalyseverfahren zu neuen Geschäftsrollen gruppiert und die Personen zugeordnet.

    Der Analyzer unterstützt das automatisierte Role Mining durch zwei verschiedene Clusteranalyseverfahren, die sich durch die Berechnung der Abstände zwischen einzelnen Clustern unterscheiden

    Entscheidungsbaum

    Die Berechtigungen werden in einem Entscheidungsbaum zu neuen Geschäftsrollen gruppiert und die Personen zugeordnet. Als Entscheidungsmerkmal wird die Anzahl der Gruppenmitglieder genutzt.

    Strukturzuordnung

    Die Berechtigungen werden einem bestehendem Strukturbaum zugeordnet. Die Verwendung von bereits vorhandenen Strukturen, beispielsweise organisatorische Strukturen aus ERP-Systemen, ist möglich.

    Berechtigungsanalyse

    Mit Hilfe der Berechtigungsanalyse werden die Berechtigungen der Personen analysiert. Geschäftsrollen werden frei definiert und die Zuordnung von Berechtigungen und Personen an Hand der vorhandenen Berechtigungen manuell bewertet.

  7. Auf der letzten Seite starten Sie die Analyse.

    1. (Optional) Um die Konfiguration zu einem späteren Zeitpunkt wieder zu verwenden, aktivieren Sie die Option Konfiguration als Vorlagedatei speichern. Wählen Sie über den Dateibrowser den Ablagepfad, geben Sie einen Dateinamen an und klicken Sie Speichern.

    2. Auf der letzten Seite klicken Sie Fertig, um die Analyse zu starten.

      Die Analyseinformationen werden geladen und die Analyse gestartet. Anschließend werden im Analyzer die Analyseergebnisse dargestellt.

  8. Prüfen Sie die Analyseergebnisse.

  9. Erstellen Sie bei Bedarf neue Geschäftsrollen und ordnen Sie die Personen zu. Übernehmen Sie die vorgeschlagenen Änderungen in die One Identity Manager-Datenbank.

Verwandte Themen

Vordefinierte Analysen ausführen

Es werden folgende vordefinierte Analysen zur Verfügung gestellt:

  • Active Directory Berechtigungen der Personen: Es werden die Berechtigungen aller Personen mit Active Directory Gruppenmitgliedschaften analysiert.

    HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

  • Active Directory Berechtigungen und Abteilungen der Personen: Es werden die Berechtigungen aller Personen mit Active Directory Gruppenmitgliedschaften analysiert. Zusätzlich werden Abteilungen mit Active Directory Gruppen in die Analyse einbezogen.

    HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

  • LDAP Berechtigungen der Personen: Es werden die Berechtigungen aller Personen mit LDAP Gruppenmitgliedschaften analysiert.

    HINWEIS: Die Analysemethode steht zur Verfügung, wenn das LDAP Modul vorhanden ist.

Um eine vordefinierte Analyse zu starten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

  2. Öffnen Sie das Launchpad und wählen Sie im Bereich Verwalten den Eintrag Geschäftsrollen analysieren. Das Programm Analyzer wird gestartet.

  3. Auf der Startseite des Analyzers wählen Sie das vordefinierte Analyseverfahren und klicken Sie Start.

    Die Analyseinformationen werden geladen und die Analyse wird sofort gestartet. Abhängig von der Datenmenge, kann die Analyse einige Zeit in Anspruch nehmen. Anschließend werden im Analyzer die Analyseergebnisse dargestellt.

    HINWEIS: Wenn Sie die Programmeinstellung Informationsfenster zur Datenanalyse am Ende automatisch schließen deaktiviert haben, werden Informationen zur Analyse im Fenster Clusteranalyse angezeigt. Über Erweitern sehen Sie detaillierte Informationen. Über Fertig schließen Sie das Informationsfenster.

  4. Prüfen Sie die Analyseergebnisse.

  5. Erstellen Sie bei Bedarf neue Geschäftsrollen und ordnen Sie die Personen zu. Übernehmen Sie die vorgeschlagenen Änderungen in die One Identity Manager-Datenbank.

Verwandte Themen

Auswertung der Analyse

Da das mathematische Verfahren der Clusteranalyse nur einen Trend vorgibt, sollten Sie beim Role Mining die Geschäftsrollen immer mit den unternehmensspezifischen Strukturen abgleichen. Neben der Umbenennung von Knoten können Sie Zuweisungen der Personen und Berechtigungen einer Geschäftsrolle auch direkt bearbeiten. Mit dem Analyzer können Sie neue Geschäftsrollen erstellen und Personen direkt zuordnen. Das Hinzufügen oder das Verschieben von Personen in eine bestimmte Geschäftsrolle lässt sich damit einfach umsetzen.

Der Analyzer zeigt das Ergebnis seiner Analyse in einem mehr geteilten Bildschirm an.

Abbildung 15: Darstellung der Analyseergebnisse

Im oberen linken Bereich (1) werden die durch die Analyse gefundenen Cluster in einem Strukturbaum angezeigt. Die Benennung der gebildeten Knoten erfolgt bei der Auswahl der Analysedaten mittels Assistenten durch die zuerst gefundene Person. Bei vordefinierten Analyseverfahren richtet sich die Benennung nach der in den Programmeinstellungen festgelegten Regel. Die Bezeichnungen der können Sie über F2 oder das Kontextmenü Umbenennen ändern.

In den Spalten Personen und Berechtigungen grafisch die Anzahl der Vorkommen abgebildet. Bei beiden Spalten wird die Anzeige normiert, das heißt die Gruppe mit der höchsten Anzahl von zugeordneten Personen oder Berechtigungen entspricht 100% und wird mit maximalen Balken dargestellt.

Tabelle 20: Bedeutung der Einträge im Kontextmenü im Bereich 1
Eintrag im Kontextmenü Bedeutung

Einfügen

Die Geschäftsrolle wird zur Übernahme in die Datenbank gekennzeichnet.

Rekursiv einfügen

Die Geschäftsrolle und ihre untergeordneten Geschäftsrollen werden zur Übernahme in die Datenbank gekennzeichnet.

Löschen

Die Geschäftsrolle wird aus der Datenübernahme entfernt.

Anlegen

Es wird eine neue Geschäftsrolle definiert.

Löschen

Die Geschäftsrolle wird gelöscht.

Umbenennen

Die Geschäftsrolle wird umbenannt.

Geschäftsrollennamen generieren

Die Bezeichnungen der Geschäftsrollen werden entsprechend der festgelegten Regel (Menü Datenbank | Einstellungen) erzeugt.

Geschäftsrollen optimieren

Die Geschäftsrollen werden optimiert. Leere Geschäftsrollen werden gelöscht.

Eigenschaften

Es werden weitere Eigenschaften der Geschäftsrolle wie Benutzerkonten und Berechtigungen angezeigt.

Bei der Auswahl eines Strukturknotens werden im rechten Bereich (2), die in ihm enthaltenen Personen (oben) und Berechtigungen (unten) aufgelistet. Für Personen können Sie mit Hilfe einer farbigen Ähnlichkeitsdarstellung feststellen, bei welchen Berechtigungen es untereinander Übereinstimmungen gibt und in wie weit die tatsächliche Berechtigungssituation des Benutzers zu der Berechtigungszuordnung der gewählten Rolle passt. Übereinstimmende Gruppenmitgliedschaften werden grün, während abweichende, zusätzliche Gruppenmitgliedschaften rot angezeigt werden. Direkt darunter werden die einzelnen Berechtigungen von Personen in den analysierten Zielsystemen angezeigt. Abhängig von den Programmeinstellungen wird zusätzlich eine Wichtung der Berechtigungen angezeigt.

Tabelle 21: Bedeutung der Einträge im Kontextmenü im Bereich (2)
Eintrag im Kontextmenü Bedeutung

Zur Geschäftsrolle hinzufügen

Die Person/Berechtigung wird zur im Strukturbaum ausgewählten Geschäftsrolle hinzugefügt.

Aus Geschäftsrolle entfernen

Die Person/Berechtigung wird aus der im Strukturbaum ausgewählten Geschäftsrolle entfernt.

Vergleichen

Die Personen werden miteinander verglichen. Die Anzeige erfolgt im Bereich 3.

Zuweisungen markieren

Die Zuweisungen der Person/Berechtigung werden im Strukturbaum markiert.

Eigenschaften

Es werden weitere Eigenschaften des aktiven Objekts angezeigt.

Durch eine Mehrfachauswahl in der Personenliste können Sie die Berechtigungsmitgliedschaften einzelner Personen im linken unteren Bereich (3) weiter analysieren und direkt mit anderen Personen vergleichen.

Um Mitgliedschaften von Personen zu vergleichen

  • Wählen Sie im rechten Bereich (2) die Personen mittels aus Strg + Auswahl oder Umschalt + Auswahl aus.

  • Starten Sie über den Kontextmenüeintrag Vergleichen den Vergleich.

TIPP: Durch die Auswahl einer Person in diesem Bereich per Mausklick legen Sie diese Person als Referenzperson in der Anzeige fest. Die farbliche Ähnlichkeitskennung wird an dieser Person ausgerichtet.

相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级