立即与支持人员聊天
与支持团队交流

Identity Manager 9.2.1 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Identitäten und Benutzerkonten Der Unified Namespace

Kontendefinitionen und Automatisierungsgrade

Eine Kontendefinition legt fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über die primären Rollen einer Identität ermittelt werden können.

Kontendefinitionen können für jedes Zielsystem der eingesetzten Zielsystemtypen erzeugt werden, beispielsweise für die unterschiedlichen Domänen einer Active Directory-Umgebung oder die einzelnen Mandanten eines SAP R/3-Systems. Eine Kontendefinition ist immer für ein Zielsystem gültig. Für ein Zielsystem können jedoch mehrere Kontendefinitionen definiert werden. Welche Kontendefinition verwendet wird, entscheidet sich beim Erzeugen eines Benutzerkontos für eine Identität. Um sicherzustellen, dass beispielsweise ein Microsoft Exchange Postfach erst erzeugt wird, wenn auch ein Active Directory Benutzerkonto vorhanden ist, können Abhängigkeiten zwischen Kontendefinitionen festgelegt werden.

An einer Kontendefinition wird festgelegt, welche Automatisierungsgrade genutzt werden können. Es können mehrere Automatisierungsgrade erstellt werden. Der Automatisierungsgrad entscheidet über den Umfang der vererbten Eigenschaften der Identität an ihre Benutzerkonten. So kann beispielsweise eine Identität mehrere Benutzerkonten in einem Zielsystem besitzen:

  • Standardbenutzerkonto, welches alle Eigenschaften über die Identität erbt

  • Administratives Benutzerkonto, das zwar mit der Identität verbunden ist, aber keine Eigenschaften von der Identität erben soll

One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade:

  • Unmanaged: Benutzerkonten mit dem Automatisierungsgrad Unmanaged erhalten eine Verbindung zur Identität, erben jedoch keine weiteren Eigenschaften. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Identität werden initial einige der Identitäteneigenschaften übernommen. Werden die Identitäteneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen nicht an das Benutzerkonto weitergereicht.

  • Full managed: Benutzerkonten mit dem Automatisierungsgrad Full managed erben definierte Eigenschaften der zugeordneten Identität. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Identität werden initial die Identitäteneigenschaften übernommen. Werden die Identitäteneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen an das Benutzerkonto weitergereicht.

HINWEIS: Die Automatisierungsgrade Full managed und Unmanaged werden in Bildungsregeln ausgewertet. Die mitgelieferten Bildungsregeln können Sie im Designer unternehmensspezifisch anpassen.

Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren. Die Bildungsregeln müssen Sie um die Vorgehensweise für die zusätzlichen Automatisierungsgrade erweitern.

Für jede Kontendefinition wird ein Automatisierungsgrad als Standard festgelegt. Dieser Standardautomatisierungsgrad wird bei der automatischen Erzeugung neuer Benutzerkonten zur Ermittlung der gültigen IT Betriebsdaten genutzt. In den Prozessen der One Identity Manager Standardinstallation wird zunächst überprüft, ob die Identität bereits ein Benutzerkonto im Zielsystem der Kontendefinition besitzt. Ist kein Benutzerkonto vorhanden, so wird ein neues Benutzerkonto mit dem Standardautomatisierungsgrad der Kontendefinition erzeugt.

HINWEIS: Ist bereits ein Benutzerkonto vorhanden und ist es deaktiviert, dann wird dieses Benutzerkonto entsperrt. Den Automatisierungsgrad des Benutzerkontos müssen Sie in diesem Fall nachträglich ändern.

Für jede Kontendefinition wird festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf Zuweisung der Kontendefinition selbst auswirken soll.

  • Solange eine Kontendefinition für eine Identität wirksam ist, behält die Identität ihre verbundenen Benutzerkonten. Die Zuweisung von Kontendefinitionen an deaktivierte Identitäten kann beispielsweise gewünscht sein, um bei späterer Aktivierung der Identität sicherzustellen, das sofort alle erforderlichen Berechtigungen ohne Zeitverlust zur Verfügung stehen.

  • Ist die Zuweisung einer Kontendefinition nicht mehr wirksam oder wird die Kontendefinition von der Identität entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht.

  • Benutzerkonten, die als Ausstehend markiert sind, werden nur gelöscht, wenn der Konfigurationsparameter QER | Person | User | DeleteOptions | DeleteOutstanding aktiviert ist.

Zusätzlich wird für jeden Automatisierungsgrad festgelegt, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf ihre Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  • Um die Berechtigungen zu entziehen, wenn eine Identität deaktiviert, gelöscht oder als sicherheitsgefährdend eingestuft wird, können die Benutzerkonten der Identität gesperrt werden. Wird die Identität zu einem späteren Zeitpunkt wieder aktiviert, werden ihre Benutzerkonten ebenfalls wieder freigeschaltet.

  • Zusätzlich kann die Vererbung der Gruppenmitgliedschaften definiert werden. Die Unterbrechung der Vererbung kann beispielsweise gewünscht sein, wenn die Benutzerkonten einer Identität gesperrt sind und somit auch nicht in Gruppen Mitglied sein dürfen. Während dieser Zeit sollen keine Vererbungsvorgänge für diese Identitäten berechnet werden. Bestehende Gruppenmitgliedschaften werden dann gelöscht.

Verwandte Themen

Zuweisen der Kontendefinitionen an Identitäten

Kontendefinitionen werden an die Identitäten des Unternehmens zugewiesen.

Das Standardverfahren für die Zuweisung von Kontendefinitionen an Identitäten ist die indirekte Zuweisung. Die Kontendefinitionen werden an die Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen zugewiesen. Die Identitäten werden gemäß ihrer Funktion im Unternehmen in diese Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen eingeordnet und erhalten so ihre Kontendefinitionen. Um auf Sonderanforderungen zu reagieren, können einzelne Kontendefinitionen direkt an Identitäten zugewiesen werden.

Kontendefinitionen können automatisch an alle Identitäten eines Unternehmens zugewiesen werden. Es ist möglich, die Kontendefinitionen als bestellbare Produkte dem IT Shop zuzuordnen. Der Abteilungsleiter kann dann für seine Mitarbeiter Benutzerkonten über das Web Portal bestellen. Zusätzlich ist es möglich, Kontendefinitionen in Systemrollen aufzunehmen. Diese Systemrollen können über hierarchische Rollen oder direkt an Identitäten zugewiesen werden oder als Produkte in den IT Shop aufgenommen werden.

Ermitteln der gültigen IT Betriebsdaten für die Zielsysteme

Um für eine Identität Benutzerkonten mit dem Automatisierungsgrad Full managed zu erzeugen, müssen die benötigten IT Betriebsdaten ermittelt werden. Welche IT Betriebsdaten für welches Zielsystem konkret verwendet werden sollen, wird an den Geschäftsrollen, Abteilungen, Kostenstellen oder Standorten definiert. Einer Identität wird eine primäre Geschäftsrolle, eine primäre Abteilung, eine primäre Kostenstelle oder ein primärer Standort zugeordnet. Abhängig von dieser Zuordnung werden die gültigen IT Betriebsdaten ermittelt und für die Erstellung des Benutzerkontos verwendet. Können über die primären Rollen keine gültigen IT Betriebsdaten ermittelt werden, werden die Standardwerte verwendet.

Die Prozessabläufe für die automatische Zuordnung der IT Betriebsdaten zu den Benutzerkonten einer Identität innerhalb des One Identity Manager sollen anhand der nachfolgenden Abbildung veranschaulicht werden.

Abbildung 2: Abbildung der IT Betriebsdaten auf ein Benutzerkonto

Wenn in einem Zielsystem mehrere Kontendefinitionen für die Abbildung der Benutzerkonten verwendet werden, können Sie die IT Betriebsdaten auch direkt für eine konkrete Kontendefinition festlegen.

Beispiel:

In der Regel erhält jede Identität der Abteilung A ein Standardbenutzerkonto in der Domäne A. Zusätzlich erhalten einige Identitäten der Abteilung A administrative Benutzerkonten in der Domäne A.

Erstellen Sie eine Kontendefinition A für die Standardbenutzerkonten der Domäne A und eine Kontendefinition B für die administrativen Benutzerkonten der Domäne A. In der Abbildungsvorschrift der IT Betriebsdaten für die Kontendefinitionen A und B legen Sie die Eigenschaft Abteilung zur Ermittlung der gültigen IT Betriebsdaten fest.

Für die Abteilung A legen Sie die wirksamen IT Betriebsdaten für die Domäne A fest. Diese IT Betriebsdaten werden für die Standardbenutzerkonten verwendet. Zusätzlich legen Sie für die Abteilung A die wirksamen IT Betriebsdaten für die Kontendefinition B fest. Diese IT Betriebsdaten werden für administrative Benutzerkonten verwendet.

IT Betriebsdaten der One Identity Manager Standardkonfiguration

Die IT Betriebsdaten, die in der Standardkonfiguration des One Identity Manager für das automatische Erzeugen oder Ändern von Benutzerkonten und Postfächer für eine Identität in den Zielsystemen verwendet werden, sind in der nachfolgenden Tabelle aufgeführt.

HINWEIS: Die IT Betriebsdaten sind abhängig vom Zielsystem und sind in den One Identity Manager Modulen enthalten. Die Daten stehen erst zur Verfügung, wenn die Module installiert sind.

Tabelle 1: Zielsystemtyp-abhängige IT Betriebsdaten
Zielsystemtyp IT Betriebsdaten

Active Directory

Container

Homeserver

Profilserver

Terminal Homeserver

Terminal Profilserver

Gruppen erbbar

Identitätstyp

Privilegiertes Benutzerkonto

Microsoft Exchange

Postfachdatenbank

LDAP

Container

Gruppen erbbar

Identitätstyp

Privilegiertes Benutzerkonto

Domino

Server

Zertifikat

Vorlage der Postdatei

Identitätstyp

SharePoint

Authentifizierungsmodus

Gruppen erbbar

Rollen erbbar

Identitätstyp

Privilegiertes Benutzerkonto

SharePoint Online

Gruppen erbbar

Rollen erbbar

Privilegiertes Benutzerkonto

Authentifizierungsmodus

Kundendefinierte Zielsysteme

Container (je Zielsystem)

Gruppen erbbar

Identitätstyp

Privilegiertes Benutzerkonto

Azure Active Directory

Gruppen erbbar

Administratorrollen erbbar

Abonnements erbbar

Unwirksame Dienstpläne erbbar

Identitätstyp

Privilegiertes Benutzerkonto

Kennwort bei der nächsten Anmeldung ändern

Cloud Zielsystem

Container (je Zielsystem)

Gruppen erbbar

Identitätstyp

Privilegiertes Benutzerkonto

Unix-basierte Zielsysteme

Login-Shell

Gruppen erbbar

Identitätstyp

Privilegiertes Benutzerkonto

Oracle E-Business Suite

Identitätstyp

Gruppen erbbar

Privilegiertes Benutzerkonto

SAP R/3

Identitätstyp

Gruppen erbbar

Rollen erbbar

Profile erbbar

Strukturelle Profile erbbar

Privilegiertes Benutzerkonto

Exchange Online

Gruppen erbbar

Privileged Account Management

Authentifizierungsanbieter

Gruppen erbbar

Identitätstyp

Privilegiertes Benutzerkonto

Google Workspace

Organisation

Gruppen erbbar

Produkte und SKUs erbbar

Admin-Rollen-Zuordnungen erbbar

Identitätstyp

Privilegiertes Benutzerkonto

Kennwort bei der nächsten Anmeldung ändern

OneLogin

Rollen erbbar

Identitätstyp

Privilegiertes Benutzerkonto

Lizenzierungsstatus

OneLogin Gruppe

相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级