立即与支持人员聊天
与支持团队交流

Identity Manager 9.2 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable Secure Token Server Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Zertifizierung von Anwendungsrollen

HINWEIS: Diese Funktion steht zur Verfügung, wenn das Modul Attestierung vorhanden ist.

Der Zertifizierungsstatus von Anwendungsrollen kann manuell oder durch regelmäßige Attestierungen gesetzt werden. Um den Zertifizierungsstatus durch Attestierungen zu setzen, konfigurieren Sie die Attestierungsrichtlinien entsprechend.

Um den Zertifizierungsstatus einer Anwendungsrolle manuell zu ändern

  1. Bearbeiten Sie im Manager die Stammdaten der Anwendungsrolle.

  2. Wählen Sie im Eingabefeld Zertifizierungsstatus den gewünschten Wert.

  3. Speichern Sie die Änderungen.

Um den Zertifizierungsstatus von Anwendungsrollen durch Attestierungen zu ändern

  1. Wählen Sie im Manager die Kategorie Attestierung > Attestierungsrichtlinien.

  2. Wählen Sie in der Ergebnisliste die Attestierungsrichtlinie, durch deren Attestierungsläufe der Zertifizierungsstatus angepasst werden soll.

  3. Wenn nach einer genehmigten Attestierung der Zertifizierungsstatus auf Zertifziert geändert werden soll, aktivieren Sie Zertifizierungsstatus auf "Zertifiziert" setzen.

  4. Wenn nach einer abgelehnten Attestierung der Zertifizierungsstatus auf Abgelehnt geändert werden soll, aktivieren Sie Zertifizierungsstatus auf "Abgelehnt" setzen.

  5. Speichern Sie die Änderungen.

Der One Identity Manager stellt Standardverfahren bereit, über welche die Stammdaten von Anwendungsrollen, die neu in die One Identity Manager-Datenbank aufgenommen wurden, zeitnah durch deren Manager attestiert und zertifiziert werden. Die Attestierung wird nur für Anwendungsrollen mit dem Zertifizierungsstatus Neu durchgeführt. Wenn die Attestierung genehmigt wird, wird der Zertifizierungsstatus der attestierten Anwendungsrolle auf Zertifiziert gesetzt, andernfalls auf Abgelehnt.

HINWEIS: Wenn die Attestierung abgelehnt wurde, wird nur der Zertifizierungsstatus geändert. Weitere Verhaltensänderungen, beispielsweise in der Vererbungsberechnung, sind damit nicht verbunden und können unternehmensspezifisch implementiert werden.

Diese Funktion steht zur Verfügung, wenn das Zielsystem Basismodul vorhanden ist. Ausführliche Informationen zur Zertifizierung neuer Rollen und Organisationen finden Sie im One Identity Manager Administrationshandbuch für Attestierungen.

Detaillierte Informationen zum Thema

Berichte über Anwendungsrollen

One Identity Manager stellt verschiedene Berichte zur Verfügung, in denen Informationen über das ausgewählte Basisobjekt und seine Beziehungen zu anderen Objekten der One Identity Manager-Datenbank aufbereitet sind. Für Anwendungsrollen stehen folgende Berichte zur Verfügung.

Tabelle 18: Berichte über Anwendungsrollen
Bericht Beschreibung

Übersicht aller Zuweisungen

Der Bericht ermittelt alle Abteilungen, Kostenstellen, Standorte, Geschäftsrollen oder IT Shop Strukturen, in denen die Identitäten der ausgewählten Anwendungsrolle ebenfalls Mitglied sind. Ausführliche Informationen zu Analyse von Rollenmitgliedschaften finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Historische Mitgliedschaften anzeigen

Der Bericht listet alle Mitglieder der ausgewählten Anwendungsrolle und den Zeitraum ihrer Mitgliedschaft auf.

Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen

Die Berechtigungen für den Zugriff auf die Tabellen und Spalten des One Identity Manager Schemas werden im Schema selbst über Berechtigungsgruppen abgebildet. Berechtigungsgruppen können Sie an Systembenutzer und an Anwendungsrollen zuweisen.

Berechtigungsgruppen werden zusätzlich verwendet, um den Zugriff auf die Bestandteile der Benutzeroberfläche wie Menüeinträge, Formulare, Methoden und Programmfunktionen zu steuern. Meldet sich ein Benutzer an den One Identity Manager-Werkzeugen an, so werden abhängig von den Berechtigungsgruppen des ermittelten Systembenutzers die verfügbaren Menüeinträge, Oberflächenformulare und Methoden ermittelt und die für ihn angepasste Benutzeroberfläche geladen. Ausführliche Informationen zur Bearbeitung der Benutzeroberfläche finden Sie im One Identity Manager Konfigurationshandbuch.

One Identity Manager stellt Berechtigungsgruppen und Systembenutzer mit einer vordefinierten Benutzeroberfläche und Berechtigungen auf die Tabellen und Spalten des One Identity Manager Schemas bereit. Diese vordefinierten Konfigurationen werden durch die Schemainstallation gepflegt und sind bis auf einige Eigenschaften nicht bearbeitbar.

Detaillierte Informationen zum Thema
Verwandte Themen

Vordefinierte Berechtigungsgruppen und vordefinierte Systembenutzer

One Identity Manager stellt Berechtigungsgruppen und Systembenutzer mit einer vordefinierten Benutzeroberfläche und speziellen Berechtigungen auf die Tabellen und Spalten des One Identity Manager Schemas bereit. Diese vordefinierten Konfigurationen werden durch die Schemainstallation gepflegt und sind bis auf einige Eigenschaften nicht bearbeitbar.

Tabelle 19: Vordefinierte Berechtigungsgruppen
Berechtigungsgruppe Beschreibung

Berechtigungsgruppe QBM_BaseRights

Die Berechtigungsgruppe QBM_BaseRights definiert die Basisberechtigungen, die für die Anmeldung eines Systembenutzers an den One Identity Manager-Werkzeugen erforderlich sind. Diese Berechtigungsgruppe ist implizit immer zugewiesen.

Berechtigungsgruppe VID_Features

Die Berechtigungsgruppe VID_Features besitzt alle Programmfunktionen, die zum Starten der One Identity Manager-Werkzeuge erforderlich sind. Zusätzlich besitzt die Berechtigungsgruppe weitere Programmfunktionen zum Ausführen spezieller Funktionen im One Identity Manager.

Berechtigungsgruppe VI_View

Die Berechtigungsgruppe VI_View besitzt die Sichtbarkeitsberechtigungen auf alle Tabellen und Spalten, die Anwendungsdaten abbilden.

HINWEIS: Weisen Sie der Berechtigungsgruppe die Sichtbarkeitsberechtigungen auf kundenspezifischen Schemaerweiterungen zu.

Berechtigungsgruppe VI_Everyone

Die Berechtigungsgruppe VI_Everyone sind Formularelemente der Übersichtformulare, die Links zu den korrespondieren Menüeinträgen verwenden, zugewiesen. Zusätzlich stellt diese Berechtigungsgruppen Funktionen für Web Portal Benutzer zur Verfügung.

Hinweis: Weisen Sie die Berechtigungsgruppe ihren kundenspezifischen Systembenutzern zu, damit die Überblicksformulare für die Benutzer vollständig angezeigt werden.

Berechtigungsgruppen für One Identity Manager-Anwendungsdaten

Die Berechtigungsgruppen besitzen Berechtigungen auf die Tabellen und die Spalten, die Anwendungsdaten abbilden. Diese Berechtigungsgruppen sind mit Menüeinträgen, Formularen, Methoden und Programmfunktionen ausgestattet, um die Anwendungsdaten beispielsweise mit dem Manager zu bearbeiten.

Berechtigungsgruppen für One Identity Manager-Systemdaten

Die Berechtigungsgruppen besitzen die Berechtigungen auf die Tabellen und die Spalten, die Systemdaten des One Identity Manager abbilden. Diese Berechtigungsgruppen sind mit Menüeinträgen, Formularen, Methoden und Programmfunktionen ausgestattet, um Systemdaten zu bearbeiten, beispielsweise mit den Editoren des Designer.

Die Berechtigungsgruppe vid besitzt alle Berechtigungen für die Systemkonfiguration mit dem Designer.

Rollenbasierte Berechtigungsgruppe VI_4_ALLUSER

Die Berechtigungsgruppe VI_4_ALLUSER stellt die Basisberechtigungen sowie Menüeinträge, Formulare, Methode und Programmfunktionen zur Verfügung, um mit dem Manager und dem Web Portal die Anwendungsdaten zu bearbeiten. Diese Berechtigungsgruppe ist implizit immer zugewiesen.

Rollenbasierte Berechtigungsgruppe vi_4_ADMIN_LOOKUP

Die Berechtigungsgruppe vi_4_ADMIN_LOOKUP besitzt die Sichtbarkeitsberechtigungen auf alle Tabellen und Spalten, die Anwendungsdaten abbilden.

HINWEIS: Weisen Sie der Berechtigungsgruppe die Sichtbarkeitsberechtigungen auf kundenspezifischen Schemaerweiterungen zu.

Rollenbasierte Berechtigungsgruppe QER_4_OperationsSupport

Die Berechtigungsgruppe QER_4_OperationsSupport besitzt spezielle Berechtigungen für die Arbeit mit dem Web Portal für Betriebsunterstützung. Die Berechtigungsgruppe ist der Anwendung OperationsSupportWebPortal zugewiesen. Die Berechtigungen der Berechtigungsgruppe gelten nur im Web Portal für Betriebsunterstützung.

Rollenbasierte Berechtigungsgruppen

Rollenbasierte Berechtigungsgruppen besitzen Berechtigungen auf die Tabellen und Spalten, die Anwendungsdaten abbilden. Diese Berechtigungsgruppen sind mit Menüeinträgen, Formularen, Methoden und Programmfunktionen ausgestattet, um mit dem Manager und dem Web Portal die Anwendungsdaten zu bearbeiten. Diese Berechtigungsgruppen sind mit One Identity Manager Anwendungsrollen verknüpft und vereinfachen im One Identity Manager Rollenmodell die Administration der Berechtigungen.

Tabelle 20: Vordefinierte Systembenutzer
Systembenutzer Beschreibung

Dynamische Systembenutzer

Für die Anmeldung an den One Identity Manager-Werkzeugen mit rollenbasierten Authentifizierungsmodulen werden dynamische Systembenutzer verwendet. Bei der Anmeldung einer Identität werden zunächst die Mitgliedschaften der Identität in den One Identity Manager Anwendungsrollen ermittelt. Über die Zuordnung der Berechtigungsgruppen zu One Identity Manager Anwendungsrollen wird bestimmt, welche Berechtigungsgruppen für die Identität gültig sind. Aus diesen Berechtigungsgruppen wird ein dynamischer Systembenutzer berechnet, der für die Anmeldung der Identität benutzt wird.

Systembenutzer sa

Der Systembenutzer sa wird ausschließlich durch den One Identity Manager Service verwendet. Der Systembenutzer ist keiner Berechtigungsgruppe zugeordnet, besitzt jedoch alle Berechtigungen, Methoden und Programmfunktionen.

Systembenutzer viadmin

Der Systembenutzer viadmin ist der Standard-Systembenutzer des One Identity Manager. Dieser Systembenutzer kann zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen genutzt werden.

WICHTIG: Verwenden Sie den Systembenutzer viadmin nicht im produktiven Betrieb. Erstellen Sie einen eigenen Systembenutzer mit entsprechenden Berechtigungen.

Der Systembenutzer hat die kompletten vorgegebenen Berechtigungen und die komplette Benutzeroberfläche. Der Systembenutzer erhält implizit die Berechtigungen und Benutzeroberflächenanteile der kundenspezifischen Berechtigungsgruppen. Der Systembenutzer hat die Berechtigung, eine Identität als One Identity Manager Administrator für die rollenbasierte Anmeldung einzurichten. Er ist selbst jedoch nicht Mitglied der Anwendungsrollen.

Systembenutzer Synchronization

Der Systembenutzer Synchronization hat die vorgegebenen Berechtigungen, um Zielsystemsynchronisationen über einen Anwendungsserver einrichten und ausführen zu können.

Systembenutzer viHelpdesk

Der Systembenutzer viHelpdesk hat die vorgegebenen Berechtigungen und die Benutzeroberfläche, um mit dem Manager auf die Helpdesk-Ressourcen des One Identity Manager zuzugreifen.

Systembenutzer IdentityRegistration

Der Systembenutzer IdentityRegistration hat die vorgegebenen Berechtigungen, die für die Selbstregistrierung neuer Benutzer im Kennwortrücksetzungsportal benötigt werden.

HINWEIS: Dieser Systembenutzer ist verfügbar, wenn das Modul Attestierung vorhanden ist.

Verwandte Themen
相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级