Anwendungsrollen für Eigentümer von PAM Objekten manuell festlegen
Bei der automatische Ermittlung der Eigentümer werden Anwendungsrollen erstellt. Sie können weitere Anwendungsrollen manuell festlegen.
Um die Anwendungsrolle für die Eigentümer eines PAM Objektes festzulegen
-
Wählen Sie im Manager in der Kategorie Privileged Account Management > Appliances > <Appliance> > Privilegierte Objekte einen der folgenden Filter.
-
Um eine Anwendungsrolle für ein Asset festzulegen, wählen Sie Assets.
-
Um eine Anwendungsrolle für eine Assetgruppe festzulegen, wählen Sie Assetgruppen.
-
Um eine Anwendungsrolle für ein Assetkonto festzulegen, wählen Sie Assetkonten.
-
Um eine Anwendungsrolle für ein Verzeichniskonto festzulegen, wählen Sie Verzeichniskonten.
-
Um eine Anwendungsrolle für eine Kontogruppe festzulegen, wählen Sie Kontogruppen.
-
Wählen Sie in der Ergebnisliste das PAM Objekt.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Wählen Sie auf dem Tabreiter Allgemein in der Auswahlliste Eigentümer (Anwendungsrolle) die Anwendungsrolle.
- ODER -
Klicken Sie neben der Auswahlliste Eigentümer (Anwendungsrolle) auf , um eine neue Anwendungsrolle zu erstellen.
-
Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle Privileged Account Governance | Asset- und Konteneigentümer zu.
-
Klicken Sie Ok, um die neue Anwendungsrolle zu übernehmen.
-
Weisen Sie die Identitäten, die Eigentümer sind, der Anwendungsrolle zu.
Verwandte Themen
Konfigurieren der PAM Zugriffsanforderungsrichtlinien
Zugriffsanforderungen für Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kontogruppen können nur bestellt werden, wenn in der Zugriffsanforderungsrichtlinie die Option Wirksam für One Identity Manager aktiviert ist.
Um die Zugriffsanforderungsrichtlinie zu konfigurieren
-
Wählen Sie im Manager die Kategorie Privileged Account Management > Appliances > <Appliance> > Nutzungsrechte > <Nutzungsrecht>.
-
Wählen Sie in der Ergebnisliste die Zugriffsanforderungsrichtlinie.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Prüfen Sie auf dem Tabreiter Allgemein die Option Wirksam für One Identity Manager.
-
Ist die Option aktiviert, können Zugriffsanforderungen für Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kontogruppen aus dem Bereich der Zugriffsanforderungsrichtlinie bestellt werden.
-
Ist die Option nicht aktiviert, ist die Bestellung von Zugriffsanforderungen für Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kontogruppen aus dem Bereich der Zugriffsanforderungsrichtlinie nicht möglich.
Verwandte Themen
Behandeln von PAM-Objekten im Web Portal
Der One Identity Manager bietet seinen Benutzern die Möglichkeit, verschiedene Aufgaben unkompliziert über ein Web Portal zu erledigen.
-
Managen von Benutzerkonten und Identitäten
Mit der Zuweisung einer Kontendefinition an ein IT Shop Regal kann die Kontendefinition von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Identität, beispielsweise einen Manager, wird das Benutzerkonto angelegt.
-
Managen von Zuweisungen von Benutzergruppen
Mit der Zuweisung einer Gruppe an ein IT Shop Regal kann die Gruppe von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Identität wird die Gruppe zugewiesen.
Manager und Administratoren von Organisationen können im Web Portal Gruppen an die Abteilungen, Kostenstellen oder Standorte zuweisen, für die sie verantwortlich sind. Die Gruppen werden an alle Identitäten vererbt, die Mitglied dieser Abteilungen, Kostenstellen oder Standorte sind.
Wenn das Geschäftsrollenmodul vorhanden ist, können Manager und Administratoren von Geschäftsrollen im Web Portal Gruppen an die Geschäftsrollen zuweisen, für die sie verantwortlich sind. Die Gruppen werden an alle Identitäten vererbt, die Mitglied dieser Geschäftsrollen sind.
Wenn das Systemrollenmodul vorhanden ist, können Verantwortliche von Systemrollen im Web Portal Gruppen an die Systemrollen zuweisen. Die Gruppen werden an alle Identitäten vererbt, denen diese Systemrollen zugewiesen sind.
-
Managen von Zugriffsanforderungen auf privilegierte Objekte
Über das IT Shop Regal Identity & Access Lifecycle > Privilegierter Zugriff können Kennwort- und Sitzungsanforderungen für privilegierte Objekte eine PAM Systems bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Der Eigentümer des privilegierten Objektes, für das der Zugriff angefordert wird, genehmigt die Bestellung. Im PAM System wird eine entsprechende Zugriffsanforderung erstellt. Konnte die Zugriffsanforderung erfolgreich erstellt werden, kann sich der Benutzer am PAM System anmelden und das angeforderte Kennwort abrufen oder die angeforderte Sitzung starten.
-
Attestierung
Wenn das Modul Attestierung vorhanden ist, kann die Richtigkeit der Eigenschaften von Zielsystemobjekten und von Berechtigungszuweisungen regelmäßig oder auf Anfrage bescheinigt werden. Die Eigentümer privilegierter Objekte attestieren den möglichen Zugriff von Benutzern auf diese privilegierten Objekte. Dafür werden im Manager Attestierungsrichtlinien konfiguriert. Die Attestierer nutzen das Web Portal, um Attestierungsvorgänge zu entscheiden.
-
Governance Administration
Wenn das Modul Complianceregeln vorhanden ist, können Regeln definiert werden, die unzulässige Berechtigungszuweisungen identifizieren und deren Risiken bewerten. Die Regeln werden regelmäßig und bei Änderungen an den Objekten im One Identity Manager überprüft. Complianceregeln werden im Manager definiert. Verantwortliche nutzen das Web Portal, um Regelverletzungen zu überprüfen, aufzulösen und Ausnahmegenehmigungen zu erteilen.
Wenn das Modul Unternehmensrichtlinien vorhanden ist, können Unternehmensrichtlinien für die im One Identity Manager abgebildeten Zielsystemobjekte definiert und deren Risiken bewertet werden. Unternehmensrichtlinien werden im Manager definiert. Verantwortliche nutzen das Web Portal, um Richtlinienverletzungen zu überprüfen und Ausnahmegenehmigungen zu erteilen.
-
Risikobewertung
Über den Risikoindex von Gruppen kann das Risiko von Gruppenmitgliedschaften für das Unternehmen bewertet werden. Dafür stellt der One Identity Manager Standard-Berechnungsvorschriften bereit. Im Web Portal können die Berechnungsvorschriften modifiziert werden.
-
Berichte und Statistiken
Das Web Portal stellt verschiedene Berichte und Statistiken über die Identitäten, Benutzerkonten, deren Berechtigungen und Risiken bereit.
Ausführliche Informationen zu den genannten Themen finden Sie unter Managen von PAM Benutzerkonten und Identitäten, Zuweisen von PAM Benutzergruppen an PAM Benutzerkonten im One Identity Manager, PAM Zugriffsanforderungen und in folgenden Handbüchern:
-
One Identity Manager Web Designer Web Portal Anwenderhandbuch
-
One Identity Manager Administrationshandbuch für Attestierungen
-
One Identity Manager Administrationshandbuch für Complianceregeln
-
One Identity Manager Administrationshandbuch für Unternehmensrichtlinien
-
One Identity Manager Administrationshandbuch für Risikobewertungen
Basisdaten für die Verwaltung eines Privileged Account Management Systems
Für die Verwaltung eines Privileged Account Management Systems im One Identity Manager sind folgende Basisdaten relevant.
- Kontendefinitionen
Um Benutzerkonten automatisch an Identitäten zu vergeben, kennt der One Identity Manager Kontendefinitionen. Kontendefinitionen können für jedes Zielsystem erzeugt werden. Hat eine Identität noch kein Benutzerkonto in einem Zielsystem, wird durch die Zuweisung der Kontendefinition an eine Identität ein neues Benutzerkonto erzeugt.
Weitere Informationen finden Sie unter Kontendefinitionen für PAM Benutzerkonten.
- Kennwortrichtlinien
Der unterstützt Sie beim Erstellen von komplexen Kennwortrichtlinien beispielsweise für Systembenutzerkennwörter, das zentrale Kennwort von Identitäten sowie für Kennwörter für die einzelnen Zielsysteme. Kennwortrichtlinien werden sowohl bei der Eingabe eines Kennwortes durch den Anwender als auch bei der Generierung von Zufallskennwörtern angewendet.
In der Standardinstallation werden vordefinierte Kennwortrichtlinien mitgeliefert, die Sie nutzen können und bei Bedarf an Ihre Anforderungen anpassen können. Zusätzlich können Sie eigene Kennwortrichtlinien definieren.
Weitere Informationen finden Sie unter Kennwortrichtlinien für PAM Benutzer.
- Zielsystemtypen
Zielsystemtypen werden für die Konfiguration des Zielsystemabgleichs benötigt. An den Zielsystemtypen werden die Tabellen gepflegt, die ausstehende Objekte enthalten können. Es werden Einstellungen für die Provisionierung von Mitgliedschaften und die Einzelobjektsynchronisation vorgenommen. Zusätzlich dient der Zielsystemtyp zur Abbildung der Objekte im Unified Namespace.
Weitere Informationen finden Sie unter Ausstehende Objekte nachbearbeiten.
- Zielsystemverantwortliche
Im One Identity Manager ist eine Standardanwendungsrolle für die Zielsystemverantwortlichen vorhanden. Weisen Sie dieser Anwendungsrolle die Identitäten zu, die berechtigt sind, alle Appliances im One Identity Manager zu bearbeiten.
Wenn Sie die Berechtigungen der Zielsystemverantwortlichen auf einzelne Appliances einschränken wollen, definieren Sie weitere Anwendungsrollen. Die Anwendungsrollen müssen der Standardanwendungsrolle untergeordnet sein.
Weitere Informationen finden Sie unter Zielsystemverantwortliche für PAM Systeme.
- Server
Für die Verarbeitung der zielsystemspezifischen Prozesse im One Identity Manager muss der Synchronisationsserver mit seinen Serverfunktionen bekannt sein.
Weitere Informationen finden Sie unter Jobserver für PAM-spezifische Prozessverarbeitung.
-
Eigentümer privilegierter Objekte
Im One Identity Manager ist eine Standardanwendungsrolle für die Eigentümer privilegierter Objekte wie PAM Assets, PAM Assetkonten oder PAM Verzeichniskonten vorhanden. Die Eigentümer werden in den Standard-Entscheidungsworkflows als Entscheider und Attestierer berücksichtigt.
Weitere Informationen finden Sie unter Eigentümer von PAM Objekten.