立即与支持人员聊天
与支持团队交流

Identity Manager 9.2.1 - Administrationshandbuch für Systemrollen

Verwalten von Systemrollen

Systemrollen vereinfachen die Zuweisung von häufig benötigten Unternehmensressourcen beziehungsweise Unternehmensressourcen, die immer gemeinsam zugewiesen werden müssen. Beispielsweise sollen neue Mitarbeiter im Bereich Finanzen eines Unternehmens standardmäßig mit bestimmten Systemberechtigungen für eine Active Directory-Umgebung und ein SAP R/3 System und mit bestimmter Software ausgestattet werden. Um zahlreiche Einzelzuweisungen zu vermeiden, fassen Sie diese Unternehmensressourcen zu einem Paket zusammen und weisen dieses den neuen Mitarbeitern zu. Solche Pakete werden im One Identity Manager als Systemrollen bezeichnet.

Mit Systemrollen können Sie beliebige Unternehmensressourcen zusammenzufassen. Diese Systemrollen können Sie an Identitäten, Arbeitsplätze oder Rollen zuweisen oder über den IT Shop bestellen. Unternehmensressourcen, die den Systemrollen zugewiesen sind, werden an die Identitäten und Arbeitsplätze vererbt. Indem Sie Systemrollen an Systemrollen zuweisen, können Sie Systemrollen strukturieren.

HINWEIS: Voraussetzung für die Verwaltung von Systemrollen im One Identity Manager ist die Installation des Systemrollenmoduls. Ausführliche Informationen zur Installation finden Sie im One Identity Manager Installationshandbuch.

Die One Identity Manager Bestandteile für Verwaltung von Systemrollen sind verfügbar, wenn der Konfigurationsparameter QER | ESet aktiviert ist.

  • Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.

    HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

Detaillierte Informationen zum Thema

One Identity Manager Benutzer für die Verwaltung von Systemrollen

In die Verwaltung von Systemrollen sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer
Benutzer Aufgaben

Verantwortliche für die einzelnen Unternehmensressourcen

Die Benutzer werden über die verschiedenen Anwendungsrollen für Administratoren und Verantwortliche definiert.

Benutzer mit diesen Anwendungsrollen:

  • Erstellen und Bearbeiten die Systemrollen.

  • Weisen Systemrollen an Abteilungen, Kostenstellen, Standorte, Geschäftsrollen oder den IT Shop zu.

  • Weisen Systemrollen an Identitäten zu.

  • Weisen Systemrollen an Arbeitsplätze zu.

Produkteigner für den IT Shop

Die Produkteigner müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Entscheiden über Bestellungen.

  • Bearbeiten die Leistungspositionen und Servicekategorien, für die sie verantwortlich sind.

Es kann die Standard-Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner | Systemrollen genutzt werden.

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Grundlagen zur Berechnung der Vererbung von Systemrollen

An Systemrollen können beliebige Unternehmensressourcen sowie andere Systemrollen zugewiesen werden. Durch die Zuweisung von Systemrollen an andere Systemrollen können die Systemrollen hierarchisch strukturiert werden. Systemrollen können auf folgenden Wegen an Identitäten und Arbeitsplätze zugewiesen werden:

  • Direktzuweisung

  • IT Shop-Bestellung

  • Vererbung über hierarchische Rollen

  • Vererbung über dynamische Rollen

Eine Identität (ein Arbeitsplatz, eine hierarchische Rolle) erbt alle Unternehmensressourcen, die der Systemrolle zugewiesen sind. Untergeordnete Systemrollen werden dabei aufgelöst. Voraussetzung ist, dass die einzelne Unternehmensressource tatsächlich vererbt werden kann.

HINWEIS: Damit eine Zielsystemberechtigung vererbt werden kann, muss die Identität ein Benutzerkonto in diesem Zielsystem besitzen.

Abbildung 1: Vererbung von Unternehmensressourcen über Systemrollen

Die Berechnung der durch die Vererbung zugeordneten Objekte erfolgt durch den DBQueue Prozessor. Durch Trigger werden bei vererbungsrelevanten Zuordnungen Aufträge in die DBQueue eingestellt. Diese Aufträge werden durch den DBQueue Prozessor verarbeitet und resultieren in weiteren Folgeaufträgen für die DBQueue oder in Prozessen für die Prozesskomponente HandleObjectComponent in der Jobqueue. Durch die Prozessverarbeitung werden die resultierenden Zuordnungen von Berechtigungen zu Benutzerkonten in den Zielsystem-Umgebungen eingefügt, geändert oder gelöscht.

Detaillierte Informationen zum Thema

Details zur Vererbung von Systemrollen

Die Zuweisungen von Unternehmensressourcen zu Systemrollen werden in der Tabelle ESetHasEntitlement abgebildet.

Über die Beziehung UID_ESet - Entitlement wird die Systemrollenhierarchie abgebildet. Die Systemrollenhierarchie ist in der Tabelle ESetCollection abgelegt. Dabei werden alle Systemrollen aufgezählt, von denen die angegebene Systemrolle erbt. Jede Systemrolle erbt auch von sich selbst.

In der Tabelle ESetCollection gilt folgende Beziehung:

  • UID_ESet ist die Systemrolle, die erbt.

  • UID_ESetChild ist die Systemrolle, die vererbt.

Die Tabelle ESetHasEntitlement enthält die Direktzuweisungen (XOrigin = 1) und alle Systemrollen, die untergeordneten Systemrollen zugewiesen sind (XOrigin = 2). Die Unternehmensressourcen, die einer untergeordneten Systemrolle zugewiesenen sind, werden erst bei der Vererbungsberechnung für Identitäten, Arbeitsplätze und hierarchische Rollen aufgelöst.

Die Zuweisungen von Systemrollen an hierarchische Rollen werden in der Tabelle BaseTreeHasESet abgebildet.

Eine Identität kann Systemrollen direkt erhalten. Weiterhin erbt eine Identität alle (auch vererbte) Systemrollen aller hierarchischen Rollen, in denen sie Mitglied ist (Tabelle PersonInBaseTree) sowie die Systemrollen aller hierarchischen Rollen, die über Fremdschlüssel-Beziehungen referenziert werden (Tabelle Person, Spalte UID_<BaseTree>). Die direkten und indirekten Zuweisungen der Systemrollen an Identitäten werden in der Tabelle PersonHasESet abgebildet. Dieses Verhalten gilt analog für die Zuweisung von Systemrollen an Arbeitsplätze.

Detaillierte Informationen zum Thema
自助服务工具
知识库
通知和警报
产品支持
下载软件
技术说明文件
用户论坛
视频教程
RSS订阅源
联系我们
获得许可 帮助
技术支持
查看全部
相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级