立即与支持人员聊天
与支持团队交流

Identity Manager 8.2.1 - Administrationshandbuch für die Anbindung einer Universal Cloud Interface-Umgebung

Verwalten einer Universal Cloud Interface-Umgebung Synchronisieren einer Cloud-Anwendung im Universal Cloud Interface
Einrichten der Initialsynchronisation mit einer Cloud-Anwendung im Universal Cloud Interface Anpassen einer Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach der Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Provisionierung von Objektänderungen Managen von Cloud Benutzerkonten und Personen Managen der Zuweisungen von Cloud Gruppen und Cloud Systemberechtigungen Bereitstellen von Anmeldeinformationen für Cloud Benutzerkonten Abbildung von Cloud-Objekten im One Identity Manager
Cloud Zielsysteme Containerstrukturen Cloud Benutzerkonten Cloud Gruppen Cloud Systemberechtigungen Cloud Berechtigungselemente Berichte über Objekte in Cloud Zielsystemen
Behandeln von Cloud-Objekten im Web Portal Basisdaten für die Verwaltung einer Universal Cloud Interface-Umgebung Konfigurationsparameter für die Verwaltung von Cloud Zielsystemen Standardprojektvorlage für Cloud-Anwendungen im Universal Cloud Interface

Cloud Gruppen direkt an Cloud Benutzerkonten zuweisen

Cloud Gruppen können einem Benutzerkonto direkt oder indirekt zugewiesen werden. Die indirekte Zuweisung erfolgt über die Einordnung der Person und der Gruppen in hierarchische Rollen, wie Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen. Besitzt die Person ein Cloud Benutzerkonto, werden die Cloud Gruppen der hierarchischen Rollen an dieses Benutzerkonto vererbt.

Um Gruppen direkt an ein Benutzerkonto zuzuweisen

  1. Wählen Sie im Manager die Kategorie Cloud Zielsysteme > <Zielsystem> > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Cloud Gruppen und Systemberechtigungen zuweisen.

  4. Wählen Sie den Tabreiter Cloud Gruppen.

  5. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Gruppen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Gruppe und doppelklicken Sie .

  6. Speichern Sie die Änderungen.

HINWEIS: Die primäre Gruppe eines Benutzerkontos ist bereits zugewiesen und wird als Noch nicht wirksam gekennzeichnet. Um die primäre Gruppe eines Benutzerkontos zu ändern, bearbeiten Sie die Stammdaten des Benutzerkontos.

Verwandte Themen

Cloud Systemberechtigungen direkt an Cloud Benutzerkonten zuweisen

Um auf Sonderanforderungen schnell zu reagieren, können Sie einem Benutzerkonto die Systemberechtigungen direkt zuweisen. Systemberechtigungen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.

Um Systemberechtigungen direkt an ein Benutzerkonto zuzuweisen

  1. Wählen Sie im Manager die Kategorie Cloud Zielsysteme > <Zielsystem> > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Cloud Gruppen und Systemberechtigungen zuweisen.

  4. Wählen Sie den Tabreiter Cloud Systemberechtigungen 1.

    - ODER -

    Wählen Sie den Tabreiter Cloud Systemberechtigungen 2.

    - ODER -

    Wählen Sie den Tabreiter Cloud Systemberechtigungen 3.

  5. Weisen Sie im Bereich Zuordnungen hinzufügen die Systemberechtigungen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Systemberechtigungen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Systemberechtigung und doppelklicken Sie .

  6. Speichern Sie die Änderungen.
Verwandte Themen

Standardprofile an Benutzerkonten in Salesforce Anwendungen zuweisen

Cloud-Anwendungen wie Salesforce erfordern, dass beim Anlegen neuer Benutzerkonten bereits eine Systemberechtigung mit einem bestimmten Typ zugewiesen ist. Für diesen Zweck wird an Cloud Benutzerkonten, die in One Identity Manager neu angelegt werden, automatisch ein Standardprofil zugewiesen.

Voraussetzungen

  • Die Synchronisation einer Cloud-Anwendung mit dem SCIM Konnektor ist im Universal Cloud Interface eingerichtet. Beim Erstellen des Synchronisationsprojekts wurde das Zielprodukt One Identity Starling Connect ausgewählt und die Projektvorlage Synchronisation einer One Identity Starling Connect-Umgebung verwendet.

  • Das Zielsystem wurde initial synchronisiert.

  • Die Synchronisation der Cloud-Anwendung ist im Modul Cloud Systems Management eingerichtet.

  • Das Cloud Zielsystem wurde initial synchronisiert.

  • Im kanonischen Namen oder im Anzeigenamen des Cloud Zielsystems wird die Zeichenkette Salesforce verwendet.

  • Es gibt eine Cloud Systemberechtigung 2, die als Standardprofil verwendet werden soll. Der Name der Systemberechtigung ist für diese Systemberechtigung erfasst (CSMGroup2.GroupName).

Um das Standardprofil für neue Benutzerkonten zu ändern

  • Bearbeiten Sie im Designer den Wert des Konfigurationsparameters TargetSystem | CSM | ApplicationType | Salesforce | DefaultProfileName und tragen Sie den Namen der Systemberechtigung 2 ein, welche automatisch an alle neuen Benutzerkonten zugewiesen werden soll.

HINWEIS: Standardmäßig wird die Zuweisung im Universal Cloud Interface durch die Property-Mapping-Regel vrtProfileFirst profiles~value im Mapping User in die Cloud-Anwendung übertragen. Sollte das Standardprofil in der Cloud-Anwendung an einer anderen Schemaeigenschaft hinterlegt sein, passen Sie die Property-Mapping-Regel entsprechend an.

TIPP: Wenn kein Standardprofil automatisch an neue Benutzerkonten zugewiesen werden soll, deaktivieren Sie im Designer den Konfigurationsparameter TargetSystem | CSM | ApplicationType | Salesforce | DefaultProfileName.

Wirksamkeit von Mitgliedschaften in Cloud Gruppen und Systemberechtigungen

HINWEIS: Die hier für Gruppen beschriebene Funktionalität gilt gleichermaßen für die Systemberechtigungen.

Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Person zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.

Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.

HINWEIS:

  • Ein wechselseitiger Ausschluss zweier Gruppen kann nicht definiert werden. Das heißt, die Festlegung "Gruppe A schließt Gruppe B aus" UND "Gruppe B schließt Gruppe A aus" ist nicht zulässig.
  • Für eine Gruppe muss jede auszuschließende Gruppe einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
  • Ob die Mitgliedschaft einer ausgeschlossenen Gruppe in einer anderen Gruppe zulässig ist (TabelleCSMGroupInGroup), wird durch den One Identity Manager nicht überprüft.

Die Wirksamkeit der Zuweisungen wird in den Tabellen CSMUserInGroup/CSMUserHasGroup und CSMBaseTreeHasGroup über die Spalte XIsInEffect abgebildet.

Beispiel: Wirksamkeit von Gruppenmitgliedschaften
  • Gruppe A wird über die Abteilung "Marketing", Gruppe B über die Abteilung "Finanzen" und Gruppe C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.

Clara Harris hat ein Benutzerkonto in diesem Zielsystem. Sie gehört primär der Abteilung "Marketing" an. Sekundär sind ihr die Geschäftsrolle "Kontrollgruppe" und die Abteilung "Finanzen" zugewiesen. Ohne Ausschlussdefinition erhält das Benutzerkonto alle Berechtigungen der Gruppen A, B und C.

Durch geeignete Maßnahmen soll verhindert werden, dass eine Person sowohl Bestellungen auslösen als auch Rechnungen zur Zahlung anweisen kann. Das heißt, die Gruppen A und B schließen sich aus. Eine Person, die Rechnungen prüft, darf ebenfalls keine Rechnungen zur Zahlung anweisen. Das heißt, die Gruppen B und C schließen sich aus.

Tabelle 19: Festlegen der ausgeschlossenen Gruppen (Tabelle CSMGroupExclusion)

Wirksame Gruppe

Ausgeschlossene Gruppe

Gruppe A

Gruppe B

Gruppe A

Gruppe C

Gruppe B

Tabelle 20: Wirksame Zuweisungen

Person

Mitglied in Rolle

Wirksame Gruppe

Ben King

Marketing

Gruppe A

Jan Bloggs

Marketing, Finanzen

Gruppe B

Clara Harris

Marketing, Finanzen, Kontrollgruppe

Gruppe C

Jenny Basset

Marketing, Kontrollgruppe

Gruppe A, Gruppe C

Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.

Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Das heißt, die Person ist berechtigt Bestellungen auszulösen und Rechnungen zu prüfen. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.

Tabelle 21: Ausgeschlossene Gruppen und wirksame Zuweisungen

Person

Mitglied in Rolle

Zugewiesene Gruppe

Ausgeschlossene Gruppe

Wirksame Gruppe

Jenny Basset

 

Marketing

Gruppe A

 

Gruppe C

 

Kontrollgruppe

Gruppe C

 Gruppe B

Gruppe A

Voraussetzungen

  • Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.

    Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.

    HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

  • Sich ausschließende Gruppen gehören zum selben Cloud Zielsystem.

Um Gruppen auszuschließen

  1. Wählen Sie im Manager die Kategorie Cloud Zielsysteme > <Zielsystem> > Gruppen.

  2. Wählen Sie in der Ergebnisliste eine Gruppe.

  3. Wählen Sie die Aufgabe Gruppen ausschließen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.

  5. Speichern Sie die Änderungen.

Um Systemberechtigungen auszuschließen

  1. Wählen Sie im Manager die Kategorie Cloud Zielsysteme > <Zielsystem> > Systemberechtigungen 1.

    - ODER -

    Wählen Sie im Manager die Kategorie Cloud Zielsysteme > <Zielsystem> > Systemberechtigungen 2.

    - ODER -

    Wählen Sie im Manager die Kategorie Cloud Zielsysteme > <Zielsystem> > Systemberechtigungen 3.

  2. Wählen Sie in der Ergebnisliste eine Systemberechtigung.

  3. Passend zur gewählten Systemberechtigung, wählen Sie die Aufgabe Systemberechtigungen 1 ausschließen, Systemberechtigungen 2 ausschließen oder Systemberechtigungen 3 ausschließen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Systemberechtigungen zu, die sich mit der gewählten Systemberechtigung ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Systemberechtigungen, die sich nicht länger ausschließen.

  5. Speichern Sie die Änderungen.
相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级