立即与支持人员聊天
与支持团队交流

Identity Manager 8.2.1 - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von PAM Benutzerkonten und Personen Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM Objekten im One Identity Manager PAM Zugriffsanforderungen Behandeln von PAM Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Sekundäre Authentifizierung für PAM Benutzerkonten

Falls einen Multifaktor-Authentifizierung für den Benutzer erforderlich ist, erfassen Sie auf dem Tabreiter Sekundäre Authentifizierung die folgenden Stammdaten.

Tabelle 24: Sekundäre Authentifizierung eines Benutzerkontos

Eigenschaft

Beschreibung

Sekundäre Authentifizierung

Zweiter Authentifizierungsanbieter um den Benutzer zu einer Multifaktor-Authentifizierung aufzufordern. Es werden alle Authentifizierungsanbieter angezeigt, die als sekundärer Authentifizierungsanbieter erlaubt sind (Tabelle PAGAuthProvider, Spalte AllowSecondaryAuth).

Sekundäres Authentifizierungsobjekt

(Nur für Verzeichnisbenutzer) Zeichenkette zur Identifizierung des zweiten Authentifizierungsobjektes für die Multifaktor-Authentifizierung. Die Eingabe ist abhängig vom gewählten sekundären Authentifizierungsanbieter.

Erfolgt die sekundäre Authentifizierung des Benutzers über ein Active Directory Benutzerkonto oder ein LDAP Benutzerkonto, können Sie das Benutzerkonto auswählen.

Um ein Benutzerkonto auszuwählen

  1. Klicken Sie auf die Schaltfläche neben dem Eingabefeld und erfassen Sie die folgenden Informationen:

    • Tabelle: Tabelle, in welcher die Benutzerkonten abgebildet werden. Die Tabelle ist vorausgewählt.

      Für ein Active Directory Benutzerkonto ist ADSAccount ausgewählt. Für ein LDAP Benutzerkonto ist LDAPAccount ausgewählt

    • Sekundäres Authentifizierungsobjekt: Wählen Sie das Benutzerkonto.
  2. Klicken Sie OK.

Anmeldename

Anmeldename des PAM Benutzerkontos für die sekundäre Authentifizierung.

Administrative Berechtigungen für PAM Benutzerkonten

Falls erforderlich, legen Sie auf dem Tabreiter Berechtigungen die administrativen Berechtigungen des Benutzers fest. Ausführliche Informationen zu administrativen Berechtigungen in One Identity Safeguard finden Sie im One Identity Safeguard Administration Guide.

Tabelle 25: Administrative Berechtigungen eines Benutzerkontos

Administrative Rolle

Beschreibung

Autorisierer

Erlaubt dem Benutzer, anderen Benutzern Berechtigungen zu erteilen.

Benutzer

Erlaubt dem Benutzer, neue Benutzer zu erstellen, Kennwörter für nicht-administrative Benutzer freizuschalten und zurückzusetzen.

Help Desk

Erlaubt dem Benutzer, Kennwörter für nicht-administrative Benutzer freizuschalten und festzulegen.

Appliance

Erlaubt dem Benutzer, die Appliance zu bearbeiten, zu aktualisieren und zu konfigurieren.

Vorgänge

Erlaubt dem Benutzer, die Appliance neu zu starten und zu überwachen.

Auditor

Erlaubt dem Benutzer einen schreibgeschützten Zugriff.

Asset

Erlaubt dem Benutzer das Hinzufügen, Bearbeiten und Löschen von Partitionen, Assets und Konten.

Verzeichnis

Erlaubt dem Benutzer das Hinzufügen, Bearbeiten und Löschen von Verzeichnissen.

Sicherheitsrichtlinie

Erlaubt dem Benutzer das Hinzufügen, Bearbeiten und Löschen von Berechtigungen und Richtlinien, die den Zugriff auf Konten und Assets steuern.

Vault für persönliche Kennwörter

Erlaubt dem Benutzer einen Vault für persönliche Kennwörter hinzuzufügen, zu bearbeiten, zu löschen, freizugeben und darauf zuzugreifen.

Zusatzeigenschaften an PAM Benutzerkonten zuweisen

Zusatzeigenschaften sind Meta-Objekte, für die es im One Identity Manager-Datenmodell keine direkte Abbildung gibt, wie beispielsweise Buchungskreise, Kostenrechnungskreise oder Kostenstellenbereiche.

Ausführliche Informationen zum Verwenden von Zusatzeigenschaften finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Um Zusatzeigenschaften für ein Benutzerkonto festzulegen

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Zusatzeigenschaften zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Zusatzeigenschaften zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Zusatzeigenschaften entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Zusatzeigenschaft und doppelklicken Sie .

  5. Speichern Sie die Änderungen.

PAM Benutzerkonten deaktivieren

Wie Sie Benutzerkonten deaktivieren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario:

Die Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte PAGUser.IsDisabled.

Szenario:

Die Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Personen verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Person deaktiviert, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.

  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Person keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu deaktivieren

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.
Szenario:

Benutzerkonten sind nicht mit Personen verbunden.

Um ein Benutzerkonto zu deaktivieren, das nicht mit einer Person verbunden ist

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.

Ausführliche Informationen zum Deaktivieren und Löschen von Personen und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen
相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级