Viele Zielsysteme nutzen mehr als einen Gruppentyp, um die Berechtigungen abzubilden. Das können beispielsweise Gruppen, Rollen oder Berechtigungssets sein. Im One Identity Manager können vier verschiedene Typen abgebildet werden.
Tabelle 10: Typen der verwendeten Systemberechtigungen
Gruppen |
UNSGroupB |
Systemberechtigungen 1 |
UNSGroupB1 |
Systemberechtigungen 2 |
UNSGroupB2 |
Systemberechtigungen 3 |
UNSGroupB3 |
Beim Einrichten der Synchronisation entscheiden Sie, welche Typen in welchen Tabellen abgebildet werden.
Ein Benutzerkonto erhält über seine Zuweisungen zu den Gruppen oder Systemberechtigungen die nötigen Berechtigungen zum Zugriff auf die Zielsystemressourcen. Abhängig vom Zielsystem werden die Zuweisungen entweder an den Benutzerkonten (benutzerbasierte Zuweisung) oder an den Gruppen oder Systemberechtigungen (berechtigungsbasierte Zuweisung) gepflegt. Im One Identity Manager können Sie das Verhalten entsprechend konfigurieren. Die Zuweisungen werden in den folgenden Tabellen gespeichert:
Tabelle 11: Benutzerbasierte Zuweisung
UNSAccountBHasUNSGroupB |
Gruppen: Zuweisungen zu Benutzerkonten |
UNSAccountBHasUNSGroupB1 |
Systemberechtigungen 1: Zuweisungen zu Benutzerkonten |
UNSAccountBHasUNSGroupB2 |
Systemberechtigungen 2: Zuweisungen zu Benutzerkonten |
UNSAccountBHasUNSGroupB3 |
Systemberechtigungen 3: Zuweisungen zu Benutzerkonten |
Tabelle 12: Berechtigungsbasierte Zuweisung
UNSAccountBInUNSGroupB |
Benutzerkonten: Zuweisungen zu Gruppen |
UNSAccountBInUNSGroupB1 |
Benutzerkonten: Zuweisungen zu Systemberechtigungen 1 |
UNSAccountBInUNSGroupB2 |
Benutzerkonten: Zuweisungen zu Systemberechtigungen 2 |
UNSAccountBInUNSGroupB3 |
Benutzerkonten: Zuweisungen zu Systemberechtigungen 3 |
Um festzulegen, welche Typen von Systemberechtigungen genutzt werden
-
Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > Basisdaten zur Konfiguration > Zielsysteme.
-
Wählen Sie in der Ergebnisliste ein Zielsystem und wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Wählen Sie in der Auswahlliste Typen der verwendeten Systemberechtigungen alle Typen, die im angebundenen Zielsystem genutzt werden.
-
Wählen Sie in der Auswahlliste Benutzerkonto enthält Mitgliedschaften alle Typen, für welche die Zuweisungen am Benutzerkonto gespeichert werden.
-
Aktivieren Sie die Systemberechtigungen, für welche die Zuweisungen an den Benutzerkonten gespeichert werden.
-
Deaktivieren Sie die Systemberechtigungen, für welche die Zuweisungen an den Systemberechtigungen gespeichert werden.
- Speichern Sie die Änderungen.
Beispiel
In einem Zielsystem werden Berechtigungen als Gruppen und als Profile verwaltet. Zuweisungen zu Gruppen werden an den Gruppenobjekten gepflegt, Zuweisungen zu Profilen an den Benutzerkonten. Die Gruppen werden im One Identity Manager in der Tabelle UNSGroupB abgebildet, die Profile in der Tabelle UNSGroupB1.
-
Aktivieren Sie in der Auswahlliste Typen der verwendeten Systemberechtigungen die Werte Gruppe und Systemberechtigung 1.
-
Aktivieren Sie in der Auswahlliste Benutzerkonto enthält Mitgliedschaften nur den Wert Systemberechtigung 1.
Die Zuweisungen zu den Systemberechtigungen werden in den Tabellen UNSAccountBHasUNSGroupB1 und UNSAccountBInUNSGroupB gespeichert.
HINWEIS: Wenn Sie Attestierungsverfahren, Complianceregeln oder Unternehmensrichtlinien über Systemberechtigungen einrichten, achten Sie darauf, die korrekten Zuweisungstabellen auszuwählen, um sowohl benutzerbasierte als auch berechtigungsbasierte Zuweisungen zu betrachten.
Um die Funktionen unabhängig von der Konfiguration der Zielsysteme einzurichten, nutzen Sie die Abbildung der Zielsysteme im Unified Namespace. In der Tabelle UNSAccountInUNSGroup sind sowohl benutzerbasierte als auch berechtigungsbasierte Zuweisungen für alle Typen von Systemberechtigungen abgebildet; die Tabelle UNSGroup enthält alle Systemberechtigungen unabhängig vom Typ.
Ausführliche Informationen zum Unified Namespace finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
Ausführliche Informationen zur Attestierungsfunktion, zu Complianceregeln und Unternehmensrichtlinien finden Sie in folgenden Handbüchern:
One Identity Manager Administrationshandbuch für Attestierungen
One Identity Manager Administrationshandbuch für Complianceregeln
One Identity Manager Administrationshandbuch für Unternehmensrichtlinien
Verwandte Themen
Gruppen und Systemberechtigungen können einem Benutzerkonto direkt oder indirekt zugewiesen werden. Die indirekte Zuweisung erfolgt über die Einordnung der Identität sowie der Gruppen und Systemberechtigungen in hierarchische Rollen, wie Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen. Besitzt die Identität ein Benutzerkonto im Zielsystem, werden die Gruppen und Systemberechtigungen der Rollen an dieses Benutzerkonto vererbt. Sie können Gruppen und Systemberechtigungen an Benutzerkonten zuweisen, die zum selben Zielsystem oder zu unterschiedlichen Zielsystemen desselben Zielsystemtyps gehören. Weitere Informationen finden Sie unter Zielsystemtypen für kundendefinierte Zielsysteme.
Des Weiteren können Gruppen und Systemberechtigungen im Web Portal bestellt werden. Dazu werden Identitäten als Kunden in einen Shop aufgenommen. Alle Gruppen und Systemberechtigungen, die als Produkte diesem Shop zugewiesen sind, können von den Kunden bestellt werden. Bestellte Gruppen und Systemberechtigungen werden nach erfolgreicher Genehmigung den Identitäten zugewiesen.
Über Systemrollen können Gruppen und Systemberechtigungen zusammengefasst und als Paket an Identitäten und Arbeitsplätze zugewiesen werden. Sie können Systemrollen erstellen, die ausschließlich Gruppen oder Systemberechtigungen enthalten. Ebenso können Sie in einer Systemrolle beliebige Unternehmensressourcen zusammenfassen.
Um auf Sonderanforderungen schnell zu reagieren, können Sie die Gruppen und Systemberechtigungen auch direkt an Benutzerkonten zuweisen.
Grundlagen zur Zuweisung von Unternehmensressourcen und zur Vererbung von Unternehmensressourcen |
One Identity Manager Administrationshandbuch für das Identity Management Basismodul
One Identity Manager Administrationshandbuch für Geschäftsrollen |
Zuweisung von Unternehmensressourcen über IT Shop-Bestellungen |
One Identity Manager Administrationshandbuch für IT Shop |
Systemrollen |
One Identity Manager Administrationshandbuch für Systemrollen |
Detaillierte Informationen zum Thema
Bei der indirekten Zuweisung werden Identitäten, Gruppen und Systemberechtigungen in hierarchische Rollen, wie Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen eingeordnet. Für die indirekte Zuweisung von Gruppen und Systemberechtigungen prüfen Sie folgende Einstellungen und passen Sie die Einstellungen bei Bedarf an.
-
Für die Rollenklassen (Abteilung, Kostenstelle, Standort oder Geschäftsrollen) ist die Zuweisung von Identitäten, Gruppen und Systemberechtigungen erlaubt.
Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Um die Zuweisungen zu Rollen einer Rollenklasse zu konfigurieren
-
Wählen Sie im Manager in der Kategorie Organisationen > Basisdaten zur Konfiguration > Rollenklassen die Rollenklasse.
- ODER -
Wählen Sie im Manager in der Kategorie Geschäftsrollen > Basisdaten zur Konfiguration > Rollenklassen die Rollenklasse.
-
Wählen Sie die Aufgabe Rollenzuweisungen konfigurieren und konfigurieren Sie die erlaubten Zuweisungen.
-
Um eine Zuweisung generell zu erlauben, aktivieren Sie die Spalte Zuweisungen erlaubt.
-
Um die direkte Zuweisung zu erlauben, aktivieren Sie die Spalte Direkte Zuweisungen erlaubt.
- Speichern Sie die Änderungen.
-
Einstellungen für die Zuweisung von Gruppen und Systemberechtigungen an Benutzerkonten.
-
Das Benutzerkonto ist mit einer Identität verbunden.
-
Am Benutzerkonto sind die Optionen Gruppen erbbar, Systemberechtigungen 1 erbbar, Systemberechtigungen 2 erbbar, Systemberechtigungen 3 erbbar aktiviert.
-
Je nach Konfiguration des Zielsystemtyps, können Gruppen und Systemberechtigungen entweder nur an Benutzerkonten zugewiesen werden, die zum selben Zielsystem gehören, oder auch an Benutzerkonten, die zu unterschiedlichen Zielsystemen gehören. Weitere Informationen finden Sie unter Zielsystemtypen für kundendefinierte Zielsysteme.
HINWEIS: Bei der Vererbung von Unternehmensressourcen über Abteilungen, Kostenstellen, Standorte und Geschäftsrollen spielen unter Umständen weitere Konfigurationseinstellungen eine Rolle. So kann beispielsweise die Vererbung für eine Rolle blockiert sein oder die Vererbung an Identitäten nicht erlaubt sein. Ausführliche Informationen über die Grundlagen zur Zuweisung von Unternehmensressourcen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Verwandte Themen
Weisen Sie die Gruppe an Abteilungen, Kostenstellen oder Standorte zu, damit die Gruppe über diese Organisationen an Benutzerkonten vererbt wird.
Um eine Gruppe an Abteilungen, Kostenstellen oder Standorte zuzuweisen (bei nicht-rollenbasierter Anmeldung)
-
Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Gruppen.
-
Wählen Sie in der Ergebnisliste die Gruppe.
-
Wählen Sie die Aufgabe Organisationen zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Organisationen zu.
-
Weisen Sie auf dem Tabreiter Abteilungen die Abteilungen zu.
-
Weisen Sie auf dem Tabreiter Standorte die Standorte zu.
-
Weisen Sie auf dem Tabreiter Kostenstellen die Kostenstellen zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Organisationen entfernen.
Um eine Zuweisung zu entfernen
- Speichern Sie die Änderungen.
Um Gruppen an eine Abteilung, eine Kostenstelle oder einen Standort zuzuweisen (bei nicht-rollenbasierter Anmeldung oder bei rollenbasierter Anmeldung)
-
Wählen Sie im Manager die Kategorie Organisationen > Abteilungen.
- ODER -
Wählen Sie im Manager die Kategorie Organisationen > Kostenstellen.
- ODER -
Wählen Sie im Manager die Kategorie Organisationen > Standorte.
-
Wählen Sie in der Ergebnisliste die Abteilung, die Kostenstelle oder den Standort.
-
Wählen Sie die Aufgabe Systemberechtigungen kundendefinierter Zielsysteme zuweisen.
-
Wählen Sie den Tabreiter Gruppen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Gruppen entfernen.
Um eine Zuweisung zu entfernen
- Speichern Sie die Änderungen.
Verwandte Themen