立即与支持人员聊天
与支持团队交流

Identity Manager 9.2.1 - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von PAM Benutzerkonten und Identitäten Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM-Objekten im One Identity Manager
PAM Appliances PAM Benutzerkonten PAM Benutzergruppen PAM Assets PAM Assetgruppen PAM Assetkonten PAM Verzeichniskonten PAM Kontogruppen PAM Verzeichnisse PAM Partitionen PAM Nutzungsrechte PAM Zugriffsanforderungsrichtlinien Berichte über PAM-Objekte
PAM Zugriffsanforderungen Behandeln von PAM-Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Festlegen der Serverfunktionen

HINWEIS: Alle Bearbeitungsmöglichkeiten stehen Ihnen auch im Designer in der Kategorie Basisdaten > Installationen > Jobserver zur Verfügung.

Die Serverfunktion definiert die Funktion eines Servers in der One Identity Manager-Umgebung. Abhängig von der Serverfunktion wird die Verarbeitung der One Identity Manager-Prozesse ausgeführt.

HINWEIS: Abhängig von den installierten Modulen können weitere Serverfunktionen verfügbar sein.
Tabelle 32: Zulässige Serverfunktionen

Serverfunktion

Anmerkungen

Aktualisierungsserver

Der Server führt die automatische Softwareaktualisierung aller anderen Server aus. Der Server benötigt eine direkte Verbindung zum Datenbankserver, auf dem die One Identity Manager-Datenbank installiert ist. Der Server kann SQL Aufträge ausführen.

Bei der initialen Schemainstallation wird der Server, auf dem die One Identity Manager-Datenbank installiert ist, mit dieser Serverfunktion gekennzeichnet.

SQL Ausführungsserver

Der Server kann SQL Aufträge ausführen. Der Server benötigt eine direkte Verbindung zum Datenbankserver, auf dem die One Identity Manager-Datenbank installiert ist.

Für eine Lastverteilung der SQL Prozesse können mehrere SQL Ausführungsserver eingerichtet werden. Das System verteilt die erzeugten SQL Prozesse über alle Jobserver mit dieser Serverfunktion.

CSV Skriptserver

Der Server kann CSV-Dateien per Prozesskomponente ScriptComponent verarbeiten.

One Identity Manager Service installiert

Server, auf dem ein One Identity Manager Service installiert werden soll.

SMTP Host

Server, auf dem durch den One Identity Manager Service E-Mail Benachrichtigungen verschickt werden. Voraussetzung zum Versenden von Mails durch den One Identity Manager Service ist ein konfigurierter SMTP Host.

Standard Berichtsserver

Server, auf dem die Berichte generiert werden.

One Identity Safeguard Konnektor

Server, auf dem der One Identity Safeguard Konnektor installiert ist. Dieser Server führt die Synchronisation mit dem Zielsystem One Identity Safeguard aus.

Verwandte Themen

Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 33: Konfigurationsparameter für die Synchronisation eines Privileged Account Management Systems

Konfigurationsparameter

Bedeutung bei Aktivierung

QER | ITShop | AutoPublish | PAGUsrGroup

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der automatischen Übernahme von PAM Benutzergruppen in den IT Shop. Ist der Parameter aktiviert, werden alle Benutzergruppen automatisch als Produkte dem IT Shop zugewiesen. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

QER | ITShop | AutoPublish | PAGUsrGroup | ExcludeList

Auflistung aller PAM Benutzergruppen, für die keine automatische Zuordnung zum IT Shop erfolgen soll. Jeder Eintrag ist Bestandteil eines regulären Suchmusters und unterstützt die Notation für reguläre Ausdrücke.

Beispiel: .*Administrator.*|.*Admins|.*Operators

TargetSystem | PAG

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung von Privileged Account Management Systemen. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | PAG | DefaultAddress

Standard-E-Mail-Adresse des Empfängers von Benachrichtigungen über Aktionen im Zielsystem.

TargetSystem | PAG | PersonAutoDefault

Modus für die automatische Identitätenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | PAG | PersonAutoDisabledAccounts

Gibt an, ob an deaktivierte Benutzerkonten automatisch Identitäten zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem | PAG | PersonAutoFullsync

Modus für die automatische Identitätenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem | PAG | PersonExcludeList

Auflistung aller Benutzerkonten, für die keine automatische Identitätenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Beispiel:

ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.* | $

TargetSystem | PAG | Accounts

Erlaubt die Konfiguration der Angaben zu PAM Benutzerkonten.

TargetSystem | PAG | Accounts | InitialRandomPassword

Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem | PAG | Accounts | InitialRandomPassword | SendTo

Identität, die E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Identität oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird die E-Mail an die im Konfigurationsparameter TargetSystem | PAG | DefaultAddress hinterlegte Adresse versandt.

TargetSystem | PAG | Accounts | InitialRandomPassword | SendTo | MailTemplateAccountName

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Identität - Erstellung neues Benutzerkonto verwendet.

TargetSystem | PAG | Accounts | InitialRandomPassword | SendTo | MailTemplatePassword

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Identität - Initiales Kennwort für neues Benutzerkonto verwendet.

TargetSystem | PAG | Accounts | MailTemplateDefaultValues

Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Identität - Erstellung neues Benutzerkonto mit Standardwerten verwendet.

TargetSystem | PAG | Accounts | PrivilegedAccount

Erlaubt die Konfiguration der Einstellungen für privilegierte Benutzerkonten.

TargetSystem | PAG | Accounts | TransferJPegPhoto

Gibt an, ob bei Änderung des Bildes in den Stammdaten der Identität dieses an bestehende Benutzerkonten publiziert wird. Das Bild ist nicht Bestandteil der normalen Synchronisation, es wird nur bei Änderung der Identitätenstammdaten publiziert.

TargetSystem | PAG | HighRiskIndexThreshold

Risikoindexwerte, die höher als dieser Grenzwert sind, werden als hoch bewertet. Standard ist 0,5.

TargetSystem | PAG | UnusedThresholdInDays

Anzahl der Tage, nach denen ein privilegiertes Objekt, eine Berechtigung oder ein Benutzer als ungenutzt gilt (Standard: 90).

TargetSystem | PAG | UserObjectAccessThreshold

Grenzwert für die Anzahl privilegierter Zugriffsberechtigungen pro Benutzer, bei dessen Überschreiten der Risikoindex des Benutzers erhöht wird. Standard ist 20.

Standardprojektvorlage für One Identity Safeguard

Eine Standardprojektvorlage sorgt dafür, dass alle benötigten Informationen im One Identity Manager angelegt werden. Dazu gehören beispielsweise die Mappings, Workflows und das Basisobjekt der Synchronisation. Wenn Sie keine Standardprojektvorlage verwenden, müssen Sie das Basisobjekt der Synchronisation selbst im One Identity Manager bekannt geben.

Verwenden Sie eine Standardprojektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.

Die Projektvorlage verwendet Mappings für die folgenden Schematypen.

Tabelle 34: Abbildung der One Identity Safeguard Schematypen auf Tabellen im One Identity Manager Schema
Schematyp in der One Identity Safeguard Tabelle im One Identity Manager Schema
Appliance PAGAppliance
IdentityProvider PAGIdentityProvider

AuthenticationProvider

PAGAuthProvider

User PAGUser
UserGroup PAGUsrGroup
Entitlement PAGEntl
AccessRequestPolicy PAGReqPolicy
AcountGroup PAGAccGroup
Asset PAGAsset
AssetAccount PAGAstAccount
AssetGroup PAGAstGroup
Directory PAGDirectory
DirectoryAccount PAGDirAccount

AuditLog

PAGAuditLog

Partition

PAGPartition

Verarbeitung von One Identity Safeguard Systemobjekten

Folgende Tabelle beschreibt die zulässigen Verarbeitungsmethoden für die One Identity Safeguard Schematypen und benennt notwendige Einschränkungen bei der Verarbeitung der Systemobjekte.

Tabelle 35: Zulässige Verarbeitungsmethoden für Schematypen

Schematyp

Lesen

Einfügen

Löschen

Aktualisieren

Appliance (Appliance)

ja

nein

nein

nein

Benutzerkonto (User)

ja

ja

ja

ja

Benutzergruppe (UserGroup)

ja

nein

nein

ja

Identitätsanbieter(IdentityProvider)

ja

nein

nein

nein

Authentifizierungsanbieter(AuthenticationProvider)

ja

nein

nein

nein

Verzeichnis (Directory)

ja

nein

nein

nein

Verzeichniskonto

(DirectoryAccount)

ja

nein

nein

nein

Asset (Asset)

ja

nein

nein

nein

Konto (AssetAccount)

ja

nein

nein

nein

Assetgruppe (AssetGroup)

ja

nein

nein

nein

Kontogruppe (AccountGroup)

ja

nein

nein

nein

Nutzungsrecht (Entitlement)

ja

nein

nein

nein

Zugriffsanforderungsrichtlinie (AccessRequestPolicy)

ja

nein

nein

nein

Prüfprotokolle

(AuditLog)

ja

nein

nein

nein

Partitionen (Partition)

ja

nein

nein

nein

相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级