Anwendungsfälle für SharePoint Online Benutzerkonten
Beispiel:
Für eine Websitesammlung soll ein Gastzugang eingerichtet werden, der nur zum Lesen berechtigt. Dafür wird ein SharePoint Online Benutzerkonto angelegt. Diesem Benutzerkonto wird als Authentifizierungsobjekt die Azure Active Directory Gruppe Guests zugeordnet. Clara Harris besitzt ein Azure Active Directory Benutzerkonto, das Mitglied dieser Gruppe ist. Damit kann sie sich an der Websitesammlung anmelden und erhält alle Berechtigungen des SharePoint Online Benutzerkontos.
Jan Bloggs soll ebenfalls einen Gastzugang für die Websitesammlung erhalten. Er besitzt ein Azure Active Directory Benutzerkonto in der selben Domäne. Im Web Portal bestellt er die Mitgliedschaft in der Azure Active Directory Gruppe Guests. Sobald die Bestellung genehmigt und zugewiesen ist, kann er sich an der Websitesammlung anmelden.
Abhängig vom referenzierten Authentifizierungsobjekt werden SharePoint Online Zugriffsberechtigungen im One Identity Manager auf unterschiedliche Weise bereitgestellt.
Fall 1: Das Authentifizierungsobjekt ist eine Gruppe. Das Authentifizierungssystem wird im One Identity Manager verwaltet. (Standardfall)
-
Das Benutzerkonto repräsentiert eine Azure Active Directory Gruppe. Diese Gruppe kann im One Identity Manager als Authentifizierungsobjekt zugeordnet werden.
-
Dem Benutzerkonto kann keine Identität zugeordnet werden. Damit kann das Benutzerkonto nur über Direktzuweisung Mitglied in SharePoint Online Rollen und Gruppen werden.
-
Damit sich eine Identität am SharePoint Online System anmelden kann, benötigt sie ein Azure Active Directory Benutzerkonto. Dieses Benutzerkonto muss Mitglied in der als Authentifizierungsobjekt genutzten Azure Active Directory Gruppe sein.
-
Ein neues SharePoint Online Benutzerkonto kann manuell erstellt werden.
-
Das Benutzerkonto kann nicht über eine Kontendefinition verwaltet werden.
Fall 2: Das Authentifizierungsobjekt ist ein Benutzerkonto. Das Authentifizierungssystem wird im One Identity Manager verwaltet.
-
Das Benutzerkonto repräsentiert ein Azure Active Directory Benutzerkonto. Dieses Benutzerkonto kann im One Identity Manager als Authentifizierungsobjekt zugeordnet werden.
-
Dem SharePoint Online Benutzerkonto kann eine Identität zugeordnet werden. Damit kann das Benutzerkonto über Vererbung und über Direktzuweisung Mitglied in SharePoint Online Rollen und Gruppen werden.
Wenn ein Authentifizierungsobjekt zugeordnet ist, wird die verbundene Identität über das Authentifizierungsobjekt ermittelt.
Wenn kein Authentifizierungsobjekt zugeordnet ist, kann die Identität automatisch oder manuell zugeordnet werden. Die automatische Identitätenzuordnung ist abhängig von den Konfigurationsparametern TargetSystem | SharePointOnline | PersonAutoFullsync und TargetSystem | SharePointOnline | PersonAutoDefault.
-
Ein neues SharePoint Online Benutzerkonto kann manuell oder über eine Kontendefinition erstellt werden. Das Azure Active Directory Benutzerkonto, das als Authentifizierungsobjekt genutzt wird, muss zu einer Domäne gehören dem das referenzierte Authentifizierungssystem vertraut.
-
Das Benutzerkonto kann über eine Kontendefinition verwaltet werden.
Ausführliche Informationen zu den Grundlagen zur Behandlung und Administration von Identitäten und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
Unterstützte Typen von Benutzerkonten
Im One Identity Manager können unterschiedliche Typen von Benutzerkonten wie beispielsweise Standardbenutzerkonten, administrative Benutzerkonten, Dienstkonten oder privilegierte Benutzerkonten abgebildet werden.
Zur Abbildung der verschiedenen Benutzerkontentypen werden die folgenden Eigenschaften verwendet.
-
Identitätstyp
Mit der Eigenschaft Identitätstyp (Spalte IdentityType) wird der Typ des Benutzerkontos beschrieben.
Tabelle 11: Identitätstypen von Benutzerkonten
Primäre Identität |
Standardbenutzerkonto einer Identität. |
Primary |
Organisatorische Identität |
Sekundäres Benutzerkonto, welches für unterschiedliche Rollen im Unternehmen verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen. |
Organizational |
Persönliche Administratoridentität |
Benutzerkonto mit administrativen Berechtigungen, welches von einer Identität genutzt wird. |
Admin |
Zusatzidentität |
Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken. |
Sponsored |
Gruppenidentität |
Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Identitäten genutzt wird. |
Shared |
Dienstidentität |
Dienstkonto. |
Service |
-
Privilegiertes Benutzerkonto
Privilegierte Benutzerkonten werden eingesetzt, um Identitäten mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.
Detaillierte Informationen zum Thema
Standardbenutzerkonten
In der Regel erhält jede Identität ein Standardbenutzerkonto, das die Berechtigungen besitzt, die für die tägliche Arbeit benötigt werden. Die Benutzerkonten haben eine Verbindung zur Identität. Die Verbindung zwischen Identität und SharePoint Online Benutzerkonto wird standardmäßig über das Authentifizierungsobjekt hergestellt, das dem Benutzerkonto zugeordnet ist. Davon abweichend können Identitäten auch direkt mit den Benutzerkonten verbunden sein. Solche Benutzerkonten können über Kontendefinitionen verwaltet werden.Über eine Kontendefinition und deren Automatisierungsgrade kann die Auswirkung der Verbindung und der Umfang der vererbten Eigenschaften der Identität an die Benutzerkonten konfiguriert werden.
Um Standardbenutzerkonten über Kontendefinitionen zu erstellen
-
Erstellen Sie eine Kontendefinition und weisen Sie die Automatisierungsgrade Unmanaged und Full managed zu.
-
Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.
-
Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.
Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Identität ermittelt werden können.
Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für Standardbenutzerkonten werden folgende Einstellungen empfohlen:
-
Verwenden Sie in den Abbildungsvorschriften für die Spalten IsGroupAccount_Group und IsGroupAccount_RLAsgn den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.
-
Verwenden Sie in der Abbildungsvorschrift für die Spalte IdentityType den Standardwert Primary und aktivieren Sie die Option Immer Standardwert verwenden.
-
Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem. Wählen Sie unter Wirksam für das konkrete Zielsystem.
Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.
-
Weisen Sie die Kontendefinition an die Identitäten zu.
Durch die Zuweisung der Kontendefinition an eine Identität wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.
Verwandte Themen
Administrative Benutzerkonten
Für bestimmte administrative Aufgaben, ist der Einsatz administrativer Benutzerkonten notwendig. Administrative Benutzerkonten werden in der Regel vom Zielsystem vorgegeben und haben feste Bezeichnungen und Anmeldenamen, wie beispielsweise Administrator.
Administrative Benutzerkonten werden durch die Synchronisation in den One Identity Manager eingelesen.
HINWEIS: Einige administrative Benutzerkonten können automatisch als privilegierte Benutzerkonten gekennzeichnet werden. Aktivieren Sie dazu im Designer den Zeitplan Ausgewählte Benutzerkonten als privilegiert kennzeichnen.
Verwandte Themen