Identity Manager 4.0.2 Übersichtshandbuch
Contents
1. Liste mit allen Konten f r die verwalteten Systeme Berechtigungstypen Werte und Zuweisungen sowie Benutzerkontenprofile f r die verwalteten Systeme Identit tsberichterstellung ber die Benutzeroberfl che des Berichterstellungsmoduls k nnen Sie problemlos festlegen dass die Berichtgenerierung au erhalb der Hauptgesch ftszeit ausgef hrt und somit die Systemleistung nicht beeintr chtigt wird Weitere Informationen hierzu finden Sie im Identity Reporting Module Guide Handbuch zum Identit tsberichterstellungsmodul Berichte Identity Manager enth lt vordefinierte Berichte um die Daten im Identit tsinformations Warehouse sinnvoll darzustellen Sie k nnen auch benutzerdefinierte Berichte erstellen Weitere Informationen zu den Berichten finden Sie unter Verwenden von Identity Manager 4 0 2 Berichten Weitere Informationen zu benutzerdefinierten Berichten finden Sie unter Creating Custom Report Definitions Erstellen von benutzerdefinierten Berichtsdefinitionen im Identity Reporting Module Guide Handbuch zum Identit tsberichterstellungsmodul REST Endpunkt f r nicht verwaltete Anwendung Eine nicht verwaltete Anwendung ist eine Anwendung die nicht mit dem Identit tsdepot verbunden ist jedoch Daten enth lt die im Bericht aufgezeichnet werden sollen Wenn Sie einen REST Endpunkt f r die Anwendung festlegen kann das Berichterstellungsmodul Daten aus der Anwendung abrufen Integrations API Das Identit tsberichterst2. Die Standard Edition bietet ein vereinfachtes Sicherheitsmodell mit dem die unbeabsichtigte Verwendung von Funktionen der Advanced Edition verhindert wird Sie m ssen nur die folgenden Administratorrollen zuweisen Benutzeranwendungsadministrator Ein Benutzeranwendungsadministrator ist berechtigt alle Verwaltungsfunktionen in Verbindung mit der Identity Manager Benutzeranwendung auszuf hren Dies umfasst den Zugriff auf die Registerkarte Administration der Benutzeroberfl che von Identity Manager um die dort verf gbaren Verwaltungsaktionen auszuf hren Berichtsadministrator Dieser Benutzer kann alle Funktionen in der Berichterstellungsdom ne verwenden Der Berichtsadministrator kann f r alle Objekte alle Aktionen innerhalb der Berichterstellungsdom ne durchf hren Identity Manager Familie 25 26 Sicherheitsadministrator Diese Rolle bietet Mitgliedern die ganze Funktionspalette innerhalb der Sicherheitsdom ne Der Sicherheitsadministrator kann f r alle Objekte alle m glichen Aktionen innerhalb der Sicherheitsdom ne durchf hren Da diese Rolle berechtigt ist Benutzerzugriffe f r alle Funktionen von Identity Manager Advanced Edition zu erteilen bzw zu delegieren wird sie von den Rollen Benutzeranwendungsverwaltung und Berichtsverwaltung getrennt behandelt Hinweis Novell hat zu Testzwecken das Sicherheitsmodell in der Standard Edition nicht gesperrt Der Sicherheitsadministrator kann daher alle Dom nenadministr
3. bersichtshandbuch Identity Manager 4 0 2 Juni 2012 Novell Rechtliche Hinweise Novell Inc bernimmt f r Inhalt oder Verwendung dieser Dokumentation keine Haftung und schlie t insbesondere jede ausdr ckliche oder implizite Garantie f r Marktf higkeit oder Eignung f r einen bestimmten Zweck aus Novell Inc beh lt sich das Recht vor dieses Dokument jederzeit teilweise oder vollst ndig zu ndern ohne dass f r Novell Inc die Verpflichtung entsteht Personen oder Organisationen davon in Kenntnis zu setzen Novell Inc gibt ebenfalls keine Erkl rungen oder Garantien in Bezug auf Novell Software und schlie t insbesondere jede ausdr ckliche oder implizite Garantie f r handels bliche Qualit t oder Eignung f r einen bestimmten Zweck aus Au erdem beh lt sich Novell Inc das Recht vor Novell Software jederzeit ganz oder teilweise zu ndern ohne dass f r Novell Inc die Verpflichtung entsteht Personen oder Organisationen von diesen nderungen in Kenntnis zu setzen Alle im Zusammenhang mit dieser Vereinbarung zur Verf gung gestellten Produkte oder technischen Informationen unterliegen m glicherweise den US Gesetzen zur Exportkontrolle sowie den Handelsgesetzen anderer L nder Sie stimmen zu alle Gesetze zur Exportkontrolle einzuhalten und alle f r den Export Reexport oder Import von Lieferungen erforderlichen Lizenzen oder Klassifikationen zu erwerben Sie erkl ren sich damit einverstanden nicht an juristische Pers
4. Alle auf Benachrichtigen festgelegten Attribute werden vor der bermittlung an das Ziel aus dem Dokument entfernt Hinzuf geprozessor Abschnitt 6 8 1 Herausgeber auf Seite 57 Abschnitt 6 8 2 Abonnent auf Seite 57 Herausgeber Der Hinzuf geprozessor wird verwendet um zu entscheiden ob es sich um ein Dokument vom Typ Hinzuf gen handelt Dies ist eine Verzweigung in der Verarbeitung des Ereignisses im Treiber Wenn es sich um ein Ereignis vom Typ Hinzuf gen handelt wird es von der bereinstimmungsregel verarbeitet Das Schnittstellenmodul stellt den Verkn pfungswert bereit und erm glicht es der Identity Manager Engine somit das korrekte Objekt schnell und leicht im Identit tsdepot aufzufinden Verkn pfungen werden als bereinstimmung zwischen zwei Objekten erstellt oder wenn ein Objekt entweder im Identit tsdepot oder im verbundenen System neu erstellt wird Nachdem eine Verkn pfung zwischen Objekten hergestellt wurde bleibt diese g ltig bis die Objekte gel scht werden oder bis die Verkn pfung vom Administrator gel scht wird Sorgf ltig entwickelte bereinstimmungsregeln automatisieren die Erstellung von Verkn pfungen zwischen vorhandenen Objekten im Identit tsdepot und dem verbundenen System Weitere Informationen finden Sie unter Abschnitt 6 13 3 Verkn pfungen auf Seite 64 Wenn es sich nicht um ein Ereignis vom Typ Hinzuf gen handelt wird es im n chsten Schritt an
5. Ereignisse f r den Treiber in die Warteschlange gestellt wenn sie mit einer Objektklasse im Filter bereinstimmen und wenn sie mit einem Attribut bereinstimmen das auf Synchronisieren Benachrichtigen oder Zur cksetzen festgelegt wurde Ereignisse die im Identit tsdepot auftreten und nicht mit den im Filter angegebenen Datentypen bereinstimmen werden von diesem Treiber ignoriert Bei der Anwendung ist es hnlich d h aufgetretene Ereignisse die nicht mit den im Filter angegebenen Filtertypen bereinstimmen werden ignoriert Allerdings muss das Schnittstellenmodul diese Ereignisse m glicherweise doch noch berpr fen um festzustellen ob sie verarbeitet werden m ssen Wenn beispielsweise der Identity Manager Treiber nur Benutzerinformationen synchronisieren sollte gibt der Filter Benutzerobjekte an und die nderung in andere Identit tsdepotobjekte wird ignoriert Von den m glichen Benutzerklassenattributen gibt der Filter die ausgew hlten Attribute an wie zum Beispiel CN Vorname Nachname und Telefonnummer nderungen in andere Benutzerklassenattribute werden ignoriert Die Benutzerobjektklasse und der Satz der entsprechenden Datenattribute werden f r die meisten verbundenen Systeme im Filter aufgef hrt Abschnitt 6 7 1 Synchronisierungsattribut auf Seite 56 Abschnitt 6 7 2 Benachrichtigungsattribut auf Seite 56 Synchronisierungsattribut Wenn im Herausgeberkanal ein Ereignis einmal
6. Installation von Identity Manager 4 0 Wenn Sie bereits ber ein Identity Manager System verf gen oder eine gro e IT Umgebung haben ziehen Sie das Identity Manager 4 0 2 Framework Installationshandbuch zu Rate um die verschiedenen Identity Manager Komponenten zu installieren bzw aufzur sten Jede Identity Manager Komponente wird separat installiert und konfiguriert sodass Sie Ihre Identity Manager L sung an Ihre Anforderungen anpassen k nnen Installationsanweisungen finden Sie unter Installation im Identity Manager 4 0 2 Framework Installationshandbuch Aufr stungsanweisungen finden Sie unter Performing an Upgrade Durchf hren einer Aufr stung im Identity Manager 4 0 2 Upgrade and Migration Guide Aufr stungs und Migrationshandbuch zu Identity Manager 4 0 1 Wenn Sie ein vorhandenes System auf neue Hardware migrieren lesen Sie Performing an Upgrade Durchf hren einer Aufr stung im Identity Manager 4 0 2 Upgrade and Migration Guide Aufr stungs und Migrationshandbuch zu Identity Manager 4 0 1 Wenn Sie das rollenbasierte Bereitstellungsmodul RBPM migrieren m ssen lesen Sie nach im Identity Manager 4 0 2 RBPM and Reporting Migration Guide Identity Manager 4 0 2 Handbuch zur RBPM und Berichterstellungsmigration Konfigurieren von Identity Manager Nach der Installation von Identity Manager m ssen Sie verschiedene Komponenten konfigurieren damit Sie eine voll funktionsf hige L sung er
7. Kommunikation mit einer externen Anwendung erm glicht um Daten zwischen der Anwendung und dem Identit tsdepot zu synchronisieren Beachten Sie dass die Begriffe Treiber und Schnittstellenmodul synonym sind In Abbildung 6 1 befindet sich das Schnittstellenmodul oben verkn pft mit einer externen Anwendung und dem Identit tsdepot Zwischen dem Treiberschnittstellenmodul und dem Identit tsdepot bestehen Regeln die die Daten verwalten Datenfl sse durch ein Identity Manager System in Form von XML Dokumenten In Identity Manager gibt es ein XML Vokabular namens XDS das zur Darstellung des Status von Objekten und Datenvorg ngen mit den entsprechenden Attributwerten verwendet wird Die Identity Manager Engine ruft ber das Schnittstellenmodul Informationen von einem verbundenen System ab und stellt Informationen in ein verbundenes System ein Anhand der Treiberkonfigurationsregeln entscheidet sie was zu tun ist und wie Treiber stellen eine Verbindung zur Anwendung her um Objekte und Entit ten zu verwalten Ein Treiber ist haupts chlich f r zwei Aufgaben zust ndig Er meldet Daten nderungen Ereignisse in der Anwendung an die Identity Manager Engine Er f hrt die Daten nderungen Befehle die von der Identity Manager Engine bermittelt wurden in der Anwendung aus Die Kombination aus dem Treiber des verbundenen Systems den Anwendungsverbindungsinformationen und einem Satz von Richtlinien wird als Treiberkonfigu
8. Manager 4 0 2 bersichtshandbuch
9. Mitarbeiters in einer Organisation ab auf welche Ressourcen er Zugriff ben tigt Zum Beispiel ben tigen die Anw lte einer Kanzlei vermutlich auf andere Ressourcen Zugriff als die Anwaltsgehilfen Mit Identity Manager k nnen Sie die Bereitstellung f r Benutzer abh ngig von deren Rolle innerhalb der Organisation durchf hren Definieren Sie Rollen und nehmen Sie Zuweisungen entsprechend den Anforderungen Ihrer Organisation vor Wenn einem Benutzer eine Rolle zugewiesen wird stellt Identity Manager f r den Benutzer den Zugriff auf die Ressourcen bereit die der Rolle zugeordnet sind Wenn einem Benutzer mehrere Rollen zugewiesen werden erh lt er Zugriff auf alle Ressourcen die diesen Rollen zugewiesen sind wie in der folgenden Abbildung dargestellt ist 12 Identity Manager 4 0 2 bersichtshandbuch Abbildung 1 7 Rollenbasierte Bereitstellung von Ressourcen Funktion Anwalt Ressource 1 t t D 1 Ressource 2 Robert Ressource 3 Zu Funktionen hinzugef gt Funktion Manager Ressource 4 Robert Robert Ressource 5 Sie k nnen festlegen dass Benutzer automatisch Rollen hinzugef gt werden wenn in Ihrer Organisation ein bestimmtes Ereignis eintritt z B wenn ein neuer Benutzer mit der Stellenbezeichnung Anwalt zu Ihrer SAP Personaldatenbank hinzugef gt wird Wenn f r das Hinzuf gen eines Benutzers zu einer Rolle eine Genehmigung erforderlich ist k nnen Sie Workflows einrichten mit deren Hilfe Rollenanforder
10. Organisation erfolgen Haben die richtigen Mitarbeiter Zugriff auf die richtigen Ressourcen Haben die falschen Mitarbeiter keinen Zugriff auf dieselben Ressourcen Hat der neue Mitarbeiter Zugriff auf das Netzwerk seine Emails und die sechs weiteren f r seine Arbeit erforderlichen Systeme Wurde der Zugriff f r den Mitarbeiter der die Firma letzte Woche verlassen hat gesperrt Mit Identity Manager haben Sie die Gewissheit dass alle Benutzerbereitstellungsaktivit ten vorangegangene und aktuelle verfolgt und zu Revisionszwecken protokolliert werden Identity Manager verf gt ber ein intelligentes Repository mit Informationen ber den aktuellen und den gew nschten Status des Identit tsdepots sowie der verwalteten Systeme in Ihrer Organisation Aus diesem Warehouse k nnen Sie jederzeit alle Informationen abrufen die f r die Einhaltung der f r Ihre Organisation geltenden gesch ftlichen Regeln und Richtlinien erforderlich sind Das Warehouse gibt Ihnen einen Gesamt berblick ber alle Gesch ftsberechtigungen und Aufschluss dar ber welche Autorisierungen und Berechtigungen den Identit ten in Ihrer Organisation in der Vergangenheit und gegenw rtig erteilt wurden Somit haben Sie die Gewissheit dass Sie f r die Einhaltung selbst anspruchsvollster GRC Richtlinien ger stet sind Automatisierung von Gesch ftsprozessen mit Identity Manager 15 Identity Manager enth lt vordefinierte Berichte f r Identit tsinformations Warehouse Abf
11. Weitere Informationen finden Sie unter Customizing the Resource Names Anpassen der Ressourcennamen im Novell Identity Manager Role Mapping Administrator 4 0 2 User Guide Benutzerhandbuch f r den Rollenzuordnungsadministrator in Novell Identity Manager 4 0 2 Funktionen des rollenbasierten Provisioning Moduls Genehmigungsverfahren f r den Rollenentzug Das rollenbasierte Bereitstellungsmodul unterst tzt nun die Anwendung von Genehmigungsverfahren f r den Rollenentzug Das Genehmigungsverfahren f r Rollenentzugsanforderungen sowie die Liste der Genehmiger entsprechen der Vorgehensweise bei der Rollenerteilung Wenn Sie angegeben haben dass das Genehmigungsverfahren entsprechend der Standarddefinition der Rollenzuweisungsgenehmigung ausgef hrt werden soll dann wird dieses Verfahren angewendet Alternativ k nnen Sie ein benutzerdefiniertes Genehmigungsverfahren sowohl f r Rollenerteilungsanforderungen als auch f r Rollenentzugsanforderungen Identity Manager 4 0 2 bersichtshandbuch angeben Weitere Informationen finden Die unter Defining the Approval Process for a Role Definieren des Genehmigungsprozesses f r eine Rolle im User Application User Guide Benutzeranwendung Benutzerhandbuch Optimierung der Rollenl schvorg nge Das rollenbasierte Bereitstellungsmodul hat den Prozess der L schung von Rollen optimiert Wenn Sie der Benutzeranwendung die Anweisung geben eine Rolle zu l schen wird zun chst de
12. a Ee A r EE 45 5 4 Rollenzuordnungsadministrator sssusa a aaea a aaaea 45 5 5 Identit tsberichterstellung 46 6 Aktionen in Identity Manager 49 6 1 Identit tsdepot EH 50 6 2 Schnittstellenm dul 3 4 2 22 ebe aa eu A Sech deet Attert d 52 6 3 EE 53 6 4 Ereignisse und Befehle HH esn anne een ernennen 53 6 5 Schemazuordnungsrichtlinie 54 6 6 Ereignistransformationsregel een een ernennen 54 Inhalt 3 A Inhalt 7 6 6 1 Herausgeber 22u 2 532 duaia oa rasen a BE AEN e ee 55 6 6 2 Abonnent Geradi EEE rm Biker 55 6 7 EINER Ee a E en dg dE dE e EE ER an Gen A 55 6 7 1 Synchronisierungsattribut 56 6 7 2 Benachrichtigungsattribut 56 DR HiNZUf gEPHrOZESSOr eu a nn a ee ir Kun Sege Bo Dar re he 57 6 8 1 ele Ee EE rer Ber Be Nenn 57 6 82 ODER re rer ae ee EE EE ee Pe ee 57 6 9 bereinstimmungsregel n ununun sururu runnar ieron rruan rnan n annur a nen 58 6 9 1 Hera sgeber si ee der ried SE a er Penn 58 0 9 2 Abonnent asi nr Be a EEN NEE AE Ee Ne NEE E 58 6 10 Eretellupngetegel o EE NEEN dee E E E E R a e 59 6 10 41 Herausgeber EE EE 59 6 10 2 AbOnnent rya e e ZEN Ne ee NEE EE e 59 GIL Platzierungsregels rr 2r Sage d det ehn VE dr Re dE Muerd a Pe an 59 6 11 1 Herausgeber ss Age seed re a Ed a ee he ra EE E E a a nk 60 6 11 2 gt Abonnent ach kr EE EE 60 6 12 Befehlstransformationsregel 60 6 121 Herausgeber ir errora e red E a are RER PR 6
13. als einen Fehler und beendet die Transaktion Sie sollten die bereinstimmungsregel entweder ndern oder diesen Konflikt manuell beheben Abonnent Im Abonnentenkanal wird die bereinstimmungsregel auf die Ereignisse vom Typ Hinzuf gen angewendet Sie verwendet die Identit tsdepotdaten um das verbundene System nach bereinstimmenden Objekten abzufragen Die F higkeit zum Abfragen des verbundenen Systems ber das Schnittstellenmodul h ngt von der Schemazuordnung ab um die nderungen an der Formatierung der Namen in der Anwendung r ckg ngig zu machen Sie kann aber auch von der Ausgabetransformation abh ngen Identity Manager 4 0 2 bersichtshandbuch 6 10 6 10 1 6 10 2 6 11 Erstellungsregel Die Erstellungsregeln werden auf die Ereignisse vom Typ Hinzuf gen angewendet wenn die bereinstimmungsregeln keine bereinstimmung finden Die Erstellungsregeln geben die minimale Anzahl der Daten an die ein Ereignis aufweisen muss bevor ein Objekt im Identit tsdepot oder im verbundenen System erstellt werden kann Abschnitt 6 10 1 Herausgeber auf Seite 59 Abschnitt 6 10 2 Abonnent auf Seite 59 Herausgeber Wenn die bereinstimmungsregel kein bereinstimmendes Objekt im Identit tsdepot findet wird auf das Dokument die Erstellungsregel angewendet um sicherzustellen dass das Dokument gen gend Informationen enth lt Sie wird auch verwendet um Standardwerte f r Attribute anzugeben u
14. dem Identit tsdepot und dem verbundenen System zum bedingungsabh ngigen Blockieren des Datenflusses zum Generieren von Email Benachrichtigungen und zum Bearbeiten des Daten nderungstyps Identity Manager 4 0 2 bersichtshandbuch Steuerung des Datenflusses Filter bzw Filterrichtlinien steuern den Datenfluss Filter geben an welche Datenelemente zwischen dem Identit tsdepot und einem verbundenen System synchronisiert werden Zum Beispiel werden Benutzerdaten in der Regel zwischen Systemen synchronisiert Deshalb sind die Benutzerdaten bei den meisten verbundenen Systemen im Filter aufgelistet Drucker hingegen sind blicherweise f r die meisten Anwendungen nicht von Interesse daher sind Druckerdaten bei den meisten verbundenen Systemen nicht im Filter aufgef hrt Bei jeder Beziehung zwischen dem Identit tsdepot und einem verbundenen System sind zwei Filter vorhanden ein Filter im Abonnentenkanal der den Datenfluss vom Identit tsdepot zum verbundenen System steuert und ein Filter im Herausgeberkanal der den Datenfluss vom verbundenen System zum Identit tsdepot steuert Autorisierte Quellen Die meisten identit tsbezogenen Datenelemente haben einen konzeptionellen Eigent mer Der Eigent mer eines Datenelements wird als autorisierte Quelle f r das Element angesehen In der Regel darf nur die autorisierte Quelle eines Datenelements nderungen an dem Datenelement vornehmen Zum Beispiel wird das Email System eines Unternehmens i
15. im Identit tsdepot erstellt wurde wird ein Ereignis f r andere Treiber erstellt die nderungen an Benutzerobjekten berwachen Wenn Sie beispielsweise den GroupWise Treiber bereitgestellt haben wird ein Ereignis vom Typ Hinzuf gen f r den GroupWise Treiber erstellt um ein Email Postfach f r den neuen Benutzer zu erstellen Kan le Der Datenfluss zwischen dem Identit tsdepot und einem verbundenen System verl uft in zwei Richtungen die Herausgeber und Abonnent genannt werden Diese Richtungen werden aus Sicht der Anwendung benannt Der Abonnentenkanal ist der Kanal in dem Daten vom Identit tsdepot ber das Schnittstellenmodul an die Anwendung flie en Die Anwendungen abonnieren die Daten vom Identit tsdepot Der Herausgeberkanal ist der Kanal in dem die Daten von der Anwendung zum Identit tsdepot flie en Die Anwendungen ver ffentlichen Daten im Identit tsdepot In einigen F llen kann die Richtlinie verursachen dass Daten in einem Kanal r ckw rts flie en Dies wird als Zur ckschreiben im Kanal bezeichnet Ereignisse und Befehle Der Unterschied zwischen Ereignissen und Befehlen ist zwar gering doch wichtig Die Meldung einer nderung an Daten bei einer Eingabe in den Kanal ist ein Ereignis Ereignisse treten sowohl im Identit tsdepot als auch im verbundenen System auf Beispiele von Ereignissen Erstellung eines Objekts nderung von Objektattributwerten nderung eines Objektnamens Ver
16. m glich dass zwei Mitarbeiter denselben Nachnamen haben Eine bereinstimmung von Nachname Vorname w rde die Qualit t der bereinstimmung schon verbessern eine bereinstimmung von Nachname Vorname Abteilung w rde die Wahrscheinlichkeit einer korrekten bereinstimmung noch weiter erh hen Wenn eine bereinstimmung erfolgreich ist wird eine Verkn pfung zwischen den beiden Objekten erstellt Wenn eine bereinstimmung nicht erfolgreich ist werden die Erstellungsregeln angewendet Abschnitt 6 9 1 Herausgeber auf Seite 58 Abschnitt 6 9 2 Abonnent auf Seite 58 Herausgeber Die bereinstimmungsregel wird verwendet um ein Objekt im Identit tsdepot mit dem entsprechenden Objekt in der Anwendung zu verkn pfen Die bereinstimmungsregel verwendet bereinstimmungskriterien und fragt im Identit tsdepot nach ob ein bereinstimmendes Objekt vorhanden ist Die bereinstimmungsregel gibt Null zur ck wenn kein Objekt bereinstimmt sodass das Ereignis vom Typ Hinzuf gen weiter verarbeitet wird Sie gibt Eins zur ck wenn ein bereinstimmendes Objekt gefunden wurde was bedeutet dass das Objekt im Eingabedokument mit einem Objekt im Identit tsdepot bereinstimmt Wenn die Objekte bereinstimmen werden die Daten der beiden Objekte basierend auf den Filtereinstellungen zusammengef hrt Wenn die bereinstimmungsregel mehr als ein bereinstimmendes Objekt findet behandelt die Identity Manager Engine dies
17. ngt die Engine die nderungen vom Treiber verarbeitet diese und sendet Befehle an das Identit tsdepot Die Identity Manager Engine wird auch als Metaverzeichnis Engine bezeichnet Treiber Treiber stellen eine Verbindung zu den Anwendungen her deren Identit tsinformationen Sie verwalten m chten Ein Treiber hat zwei grundlegende Aufgaben das Melden von Daten nderungen Ereignissen in der Anwendung an die Identity Manager Engine sowie das Ausf hren von Daten nderungen Befehlen die von der Identity Manager Engine an die Anwendung gesendet werden Remote Loader Die Treiber m ssen auf demselben Server installiert und ausgef hrt werden wie die Anwendung zu der sie eine Verbindung herstellen Wenn sich die Anwendung auf demselben Server wie die Identity Manager Engine befindet m ssen Sie lediglich den Treiber auf diesem Server installieren Befindet sich die Anwendung jedoch nicht auf demselben Server wie die Identity Manager Engine d h sie ist bezogen auf den Engine Server remote nicht lokal m ssen Sie den Treiber und den Remote Loader auf dem Server der Anwendung installieren Der Remote Loader l dt den Treiber und kommuniziert an dessen Stelle mit der Identity Manager Engine Anwendung Ein System ein Verzeichnis eine Datenbank oder ein Betriebssystem zu dem der Treiber eine Verbindung herstellt Die Anwendung muss APIs enthalten die ein Treiber zum Ermitteln und Ausf hren von Anwendungsdaten nderungen verwenden kann Anw
18. und erstellt ein Ereignis vom Typ Hinzuf gen das es ersetzt Das Ereignis vom Typ Hinzuf gen wird durch die bereinstimmungs Erstellungs Platzierungs und Befehlstransformation geleitet im Abonnenten Aktionen in Identity Manager 57 58 6 9 6 9 1 6 9 2 durchl uft es au erdem noch die Schemazuordnung und Ausgabetransformation Die Ereignistransformationsregel wird nicht auf Vorg nge des k nstlichen Hinzuf gens angewendet Der Grund daf r ist der Standort der Regel vor dem Hinzuf geprozessor bereinstimmungsregel bereinstimmungsregeln erstellen Links zwischen einem vorhandenen Objekt im Identit tsdepot und einem vorhandenen Objekt im verbundenen System Die bereinstimmungsregeln geben an welche Klassen und Attributwerte f r ein Objekt im Identit tsdepot und ein Objekt im verbundenen System bereinstimmen m ssen um als entsprechende Eintr ge gekennzeichnet zu werden Eine gute bereinstimmungsregel veranlasst Sie beide betroffenen Systeme zu untersuchen und die Daten zu finden die eine 1 1 bereinstimmung zwischen beiden garantiert Attribute wie die ID Nummer des Mitarbeiters die Email Adresse und Ausweisnummer sind einige der blichen Daten die als bereinstimmungskriterien verwendet werden Wenn kein Attribut verf gbar ist kann eine Kombination von Attributen verwendet werden Ein bereinstimmung des Nachnamens ist kein gutes Kriterium In gr eren Unternehmen ist es beispielsweise
19. zu Ressourcenzuweisungen gruppiert nach Empf nger Zugriffsanfragen nach Anforderer Enth lt die Workflow Prozesse zu Ressourcenzuweisungen gruppiert nach Anforderer Zugriffsanfragen nach Ressource Enth lt die Workflow Prozesse zu Ressourcenzuweisungen gruppiert nach Ressourcen 2 3 Funktionen von Identity Manager 4 0 Neben den beschriebenen neuen Funktionen ist Identity Manager 4 0 1 mit den folgenden Funktionen ausgestattet die in Identity Manager 4 0 hinzugef gt wurden Umfassende sofort einsatzf hige Berichterstellung Mithilfe des integrierten Berichterstellungsmoduls von Novell Identity Manager 4 x l sst sich die Konformit t von In House und Cloud Bereitstellungen besser darstellen Mit den Berichterstellungsfunktionen k nnen Sie die Benutzerrechte und den Identit tsstatus eines bestimmten Benutzers anzeigen oder einen Bereitstellungsverlauf und einen Bericht ber die vom Benutzer durchgef hrten Aktionen erstellen Weitere Informationen hierzu finden Sie im Identity Reporting Module Guide Handbuch zum Identit tsberichterstellungsmodul Erweiterte Integration Zum Erstellen einer neuen Identity Manager L sung in der sich alle Komponenten auf demselben Server befinden bietet Ihnen Novell Identity Manager 4 x ein integriertes Installationsprogramm das die Installation erleichtert und mit dem Sie Ihr System schneller einrichten k nnen Anstatt die Identity Manager Komponenten einzeln zu installieren k nnen
20. 0 6 12 2 Abonnent EE 61 6 13 Regeln Richtlinien und Formatvorlagen 2n22er see een een en r ee r een 61 6 13 1 Eingabetransformationsregel 2n22ne nee een rennen nenn 63 6 13 2 Ausgabetransformationsregel 222222 e ernennen ernennen nenn 63 6413 83 Verkn pfungen ur NEEN ee Da isch 64 6 13 4 K nstliches Hinzuf gen 22H 2nn ernennen en 64 6 13 5 Verarbeitung der Zusammenf hrung 222222 er rennen rennen nennen 66 Weitere Schritte 71 7 1 Planen einer Identity Manager L sung 2 22H 2er en nananana 71 7 2 Vorbereiten der Daten f r die Synchronisierung 2 2222 ses seen een een 71 7 3 Installation oder Aufr stung von Identity Manager 71 7 4 Konfigurieren von Identity Manager 72 7 4 1 Datensynchronisierung 72 7 4 2 Zuordnen von Rollen 73 7 4 3 Konfiguration der Benutzeranwendung 22 222 2eH seen ern nnn 73 7 4 4 Konfigurieren von Revision Berichterstellung und Konformit t 00 73 7 5 Identity Manager verwalten HHHH Henna nenne nee een een 74 Informationen zu diesem Handbuch Dieses Handbuch bietet eine Einf hrung in Novell Identity Manager ein WorkloadIQ Produkt das die Verwaltung von Identit ten und Zugriffen in physischen virtuellen sowie Cloud Umgebungen erm glicht Es wird erl utert wie Sie Gesch ftsprobleme mithilfe von Identity Manager l sen und gleichzeitig Kosten einsparen sowie die Konformit t sicherstellen k nnen Das
21. Abonnentenkanal und der Herausgeberkanal haben normalerweise verschiedene Ereignistransformationsregeln Der Zweck der Ereignistransformationsregeln besteht darin die Meldung der Ereignisse zu ndern bevor die Ereignisse von Identity Manager weiterverarbeitet werden F r die Ereignistransformationsregel gibt es viele allgemeine Anwendungen Bereichsfilterung wenn beispielsweise nur Ereignisse an Objekten in einem bestimmten Unterbaum oder mit einem bestimmten Attributwert zugelassen werden sollen Benutzerdefinierte Ereignisfilterung wenn beispielsweise keine Verschiebungen oder L schungen zugelassen werden sollen bertragung des Ereignisses direkt in einen benutzerdefinierten Befehl zur Weiterleitung an das verbundene System Erstellen zus tzlicher Ereignisse Abschnitt 6 6 1 Herausgeber auf Seite 55 Abschnitt 6 6 2 Abonnent auf Seite 55 Identity Manager 4 0 2 bersichtshandbuch 6 6 1 6 6 2 6 7 Herausgeber Die Eingabe an den Herausgeberkanal ist eine Beschreibung eines Ereignisses das vom verbundenen System kommt Der Zweck der Ereignistransformationsregel besteht darin diese Beschreibung des vom Schnittstellenmodul an Identity Manager ausgegebenen Ereignisses zu ndern Sie wird nach der Eingabetransformationsrichtlinie und Schemazuordnungsrichtlinie angewendet aber vor jeder anderen richtlinienbasierten Ereignisverarbeitung Die in der Ereignistransformationsregel implementierten Richtli
22. Handbuch enth lt au erdem einen technischen berblick ber die Komponenten und Werkzeuge von Identity Manager die zum Erstellen Ihrer Identity Manager L sung zur Verf gung stehen Dieses Handbuch gliedert sich wie folgt Kapitel 1 Automatisierung von Gesch ftsprozessen mit Identity Manager auf Seite 7 Kapitel 2 Funktionen von Identity Manager 4 0 2 auf Seite 17 Kapitel 3 Identity Manager Familie auf Seite 23 Kapitel 4 Identity Manager Architektur auf Seite 29 Kapitel 5 Identity Manager Werkzeuge auf Seite 41 Kapitel 6 Aktionen in Identity Manager auf Seite 49 Kapitel 7 Weitere Schritte auf Seite 71 Zielgruppe Dieses Handbuch ist f r Administratoren Berater und Netzwerktechniker gedacht die eine detaillierte Einf hrung in die Gesch ftsl sungen Technologien und Werkzeuge von Identity Manager ben tigen Aktualisierungen der Dokumentation Die neueste Version dieses Dokuments finden Sie auf der Website zur Identity Manager Dokumentation http www netig com documentation idm402 index html Zus tzliche Dokumentation Die Dokumentation f r Identity Manager Treiber finden Sie auf der Website f r Identity Manager Treiber http www netig com documentation idm402drivers index html Informationen zu diesem Handbuch 5 6 Identity Manager 4 0 2 bersichtshandbuch Automatisierung von Gesch ftsprozessen mit Identity Manager Nachfolgend werden einig
23. Sie mithilfe des integrierten Installationsprogramms alle Komponenten in einem Installationsvorgang installieren Weitere Informationen finden Sie im Identity Manager 4 0 2 Integrated Installation Guide Handbuch zur integrierten Installation von Identity Manager 4 0 Funktionen von Identity Manager 4 0 2 21 22 Paketverwaltung Identity Manager 4 x bietet das neue Konzept Paketverwaltung Dieses System dient zum Erstellen Verteilen und Verwenden von hochwertigen Bausteinen mit Identity Manager Richtlinieninhalten Weitere Informationen zu Identity Manager Paketen finden Sie unter Configuring Packages Konfigurieren von Paketen im Designer 4 0 2 for Identity Manager 4 0 2 Administration Guide Administrationshandbuch zu Designer 4 0 1 f r Identity Manager 4 0 1 Cloud f hige Treiber Identity Manager 4 x bietet mehrere Treiber f r die Integration in SaaS Die Treiber lassen sich nahtlos in SaaS und die gehostete L sung integrieren und bieten unter anderem folgende Funktionen Bereitstellung Deaktivierung der Bereitstellung Anforderungs bzw Genehmigungsverfahren Passwort nderungen Identit tsprofilaktualisierungen und Berichterstellung Mithilfe der Treiber New SharePoint und Salesforce com k nnen Sie Ihre Unternehmensidentit ten in Cloud Anwendungen integrieren Weitere Informationen zu cloud f higen Treibern finden Sie im Identity Manager 4 0 2 Driver for Salesforce com Implementation Guid
24. anager System in einer Offline Umgebung entwerfen erstellen und konfigurieren und Ihre nderungen dann in Ihr Live System bertragen Dar ber hinaus bietet Designer Paketverwaltungsfunktionen zum Vorkonfigurieren und Anpassen der Identity Manager Treiberrichtlinien Analyzer wird beim Erstellen der Identity Manager L sung zur Datenanalyse und bereinigung sowie zur Vorbereitung der Datensynchronisierung verwendet Der Rollenzuordnungsadministrator dient zum Erstellen und Verwalten von Rollen in Ihrer Identity Manager L sung Mit iManager k nnen Sie die gleichen Aufgaben wie mit Designer durchf hren und zudem den Zustand Ihres Systems berwachen Die Paketverwaltung wird in iManager jedoch nicht unterst tzt Es ist empfehlenswert iManager f r Verwaltungsaufgaben und Designer f r Konfigurationsaufgaben die nderungen an Paketen Modellierung und Tests vor der Bereitstellung erfordern zu verwenden In den folgenden Abschnitten finden Sie weitere Informationen zu den einzelnen Werkzeugen Abschnitt 5 1 Analyzer auf Seite 42 Abschnitt 5 2 Designer auf Seite 43 Abschnitt 5 3 iManager auf Seite 45 Abschnitt 5 4 Rollenzuordnungsadministrator auf Seite 45 Abschnitt 5 5 Identit tsberichterstellung auf Seite 46 Analyzer Analyzer ist ein Eclipse basierter Satz von Identit tsverwaltungswerkzeugen der Ihnen hilft sicherzustellen dass mithilfe der Datenanalyse und Datenbereinigung sow
25. atoren und beauftragte Administratoren sowie andere Sicherheitsadministratoren zuweisen In der Produktionsumgebung werden diese erweiterten Funktionen jedoch nicht unterst tzt wie in der Endbenutzer Lizenzvereinbarung beschrieben In Produktionsumgebungen wird die Zuweisung der Administratoren durch die Lizenzierung beschr nkt Novell sammelt berwachungsdaten in der Audit Datenbank um sicherzustellen dass die Lizenzierung in der Produktionsumgebung eingehalten wird Dar ber hinaus ist es empfehlenswert die Sicherheitsadministratorberechtigung nur einem Benutzer zu erteilen Weitere Informationen zum Einrichten der Benutzeranwendungsfunktionen finden Sie im User Application Administration Guide Benutzeranwendung Administrationshandbuch Folgende Beschr nkungen gelten f r das Identit tsberichterstellungsmodul Treiber Verwaltetes System Gateway ist deaktiviert Der Treiber Verwaltetes System Gateway kann von jedem verwalteten System das Berechtigungen unterst tzt und in Identity Manager 4 0 oder neueren Versionen f r die Datenerfassung aktiviert wurde Informationen abrufen Der Treiber Verwaltetes System Gateway ist in der Standard Edition von Identity Manager deaktiviert Berichte enthalten nur Identit tsdepotinformationen Berichte die mit Identity Manager Standard Edition generiert werden enhalten nur Identit tsdepotdaten und keine Informationen zu verbundenen verwalteten Systemen Ber
26. bstbedienung Event Rollen Paket Auditing zum Treiber ee a e f LFI Service Verwaltetes vom Datener System fassungs Gateway diensttreiber iManager Administratoren datenkollektor e Ereignis Warehouse f r Berichte Ae Identit ts gesteuerter Browser berichterstellung Datenkollektor Berichtsinhait Benutzerschnittstelle Datenkollektor Na a f r nicht e J J REST Endpunkt Integrations API f r nicht verwaltete Anwendung 38 Identity Manager 4 0 2 bersichtshandbuch Mit dem Identit tsberichterstellungsmodul k nnen Sie Berichte generieren die unternehmenskritische Informationen zu verschiedenen Aspekten Ihrer Identity Manager Konfiguration liefern einschlie lich erfasster Informationen zu Identit tsdepots oder verwalteten Systemen z B Active Directory oder SAP Das Identit tsberichterstellungsmodul verwaltet die Daten mittels folgender Komponenten Event Auditing Service Dieser Dienst protokolliert Aktionen die im Berichterstellungsmodul durchgef hrt wurden z B das Importieren ndern L schen oder Planen eines Berichts Der Event Auditing Service EAS protokolliert Aktionen die im rollenbasierten Bereitstellungsmodul und im Rollenzuordnungsadministrator durchgef hrt wurden Identit tsinformations Warehouse Repository f r folgende Informationen Berichtverwaltungsinformationen z B Berichtsdefinitionen Berichtzeitpl ne und abgeschlossene Berichte f r die Berichterste
27. chterstellungsdatenbank Mit dem Identit tsberichterstellungsmodul k nnen Sie nun historische Daten aus der Berichterstellungsdatenbank entfernen Wenn das Berichterstellungsmodul einen Vorgang zum Entfernen von Daten durchf hrt werden nur die Daten aus Verlaufstabellen entfernt die lter sind als der angegebene Aufbewahrungswert Alle Verlaufsdaten die j nger sind als die erlaubten Aufbewahrungsintervalle werden weiterhin aufbewahrt Der Vorgang zum Entfernen der Daten entfernt keine aktuellen Daten Weitere Informationen finden Sie unter Configuring Settings and Data Collection Konfigurieren von Einstellungen und Datensammlung im Identity Reporting Module Guide Handbuch zum Identit tsberichterstellungsmodul Designer Funktionen REST Aktivit tsunterst tzung f r Workflows Designer 4 0 2 verf gt jetzt ber eine neue Aktivit t im Provisioning Request Definition Editor Provisioning Anforderungsdefinitions Editor die es Benutzern erm glicht beim Verarbeiten von Workflowdaten REST Endpunkte oder Ressourcen aufzurufen Mithilfe der REST Aktivit t k nnen Workflows Daten mit REST Diensten in und au erhalb der Organisation austauschen und Benutzer k nnen von einem REST Dienst empfangene Daten als Entscheidungshilfe in Genehmigungsformularen verwenden Weitere Informationen finden Sie im Abschnitt Rest Activity REST Aktivit t im User Application Design Guide Benutzeranwendung Entwurfshandbuch Verb
28. d ausgef hrt wenn die Identity Manager Engine einen Hinzuf gevorgang in einen nderungsvorgang konvertiert Am h ufigsten geschieht dies bei einer urspr nglichen Migration weil durch die Migration Objekte entlang einem Kanal gesendet werden und die bereinstimmungsregel ein Objekt findet das es zur Verkn pfung mit dem zu migrierenden Objekt verwenden kann In einem Vorgang der Zusammenf hrung wird das aktuelle Dokument verworfen wie das k nstliche Hinzuf gen und der Filter wird verwendet um sowohl das verbundene System als auch das Identit tsdepot nach allen Werten abzufragen Die Einstellung f r jedes Attribut im Filter wird verwendet um zu entscheiden was mit den Daten geschehen soll Optional k nnen die Quellinformationen mit den Informationen vom Ziel berschrieben das Ziel mit der Quelle berschrieben beide Methoden kombiniert und beide mit den Ergebnissen aktualisiert werden oder 66 Identity Manager 4 0 2 bersichtshandbuch es kann einfach nichts getan werden Im folgenden Flussdiagramm sind der Zusammenf hrungsprozessor des Herausgebers und der Zusammenf hrungsprozessor des Abonnenten dargestellt Abbildung 6 5 Zusammenf hrungsprozessor des Herausgebers Aktionen in Identity Manager 67 68 Zusammenf hrungsprozessor f r Herausgeber Nein Zu Ereignis Sequencer f r Verkn pfungsprozessor nach Filterung zur ckkehren Identity Manager 4 0 2 bersichtshandbuch Abbildung 6 6 Zusammenf hr
29. den Rollenbasierte Bereitstellung Die rollenbasierte Bereitstellung erm glicht dass Benutzer auf der Grundlage der ihnen zugewiesenen Rollen Zugriff auf bestimmte Ressourcen erhalten Benutzern k nnen eine oder mehrere Rollen zugewiesen werden Wenn eine Rollenzuweisung eine Genehmigung erfordert startet die Zuweisungsanforderung einen Workflow Funktionstrennung Damit Benutzern keine widerspr chlichen Rollen zugewiesen werden bietet das rollenbasierte Bereitstellungsmodul der Benutzeranwendung die M glichkeit der Funktionstrennung Sie k nnen Funktionstrennungsbeschr nkungen einrichten die definieren welche Rollen als widerspr chlich zueinander angesehen werden Wenn Rollen im Widerspruch zueinander stehen haben Funktionstrennungsgenehmiger die M glichkeit Ausnahmen von den Beschr nkungen zu genehmigen oder zu verweigern Genehmigte Ausnahmen werden als Funktionstrennungsverletzungen aufgezeichnet und k nnen mithilfe des nachfolgend beschriebenen Beglaubigungsprozesses berpr ft werden Rollenverwaltung Die Rollen m ssen von Mitarbeitern verwaltet werden denen die Systemfunktionen Rollenmodul Administrator und Rollenmanager zugewiesen wurden Der Rollenmodul Administrator kann neue Rollen erstellen vorhandene Rollen ndern Rollen entfernen Beziehungen zwischen Rollen ndern Rollenzuweisungen f r Benutzer erteilen und entziehen sowie Funktionstrennungsbeschr nkungen erstellen ndern und entfernen Der Rollenmanage
30. den Sie unter REST Services for Reporting REST Dienste f r Berichterstellung im Identity Reporting Module Guide Handbuch zum Identit tsberichterstellungsmodul Datenerfassungsdiensttreiber Ein Treiber der nderungen an Objekten im Identit tsdepot erfasst z B Konten Rollen Ressourcen Gruppen und Teammitgliedschaften Der Datenerfassungsdiensttreiber registriert sich beim Datenerfassungsdienst und gibt nderungsereignisse z B Datensynchronisierung sowie Hinzuf gen ndern und L schen von Ereignissen an den Datenerfassungsdienst weiter nderungen an folgenden Objekten werden aufgezeichnet Benutzerkonten und Identit ten Rollen und Rollenebenen Gruppen Hinweis Dynamische Gruppen werden vom Berichterstellungsmodul nicht unterst tzt Es werden nur Berichte von statischen Gruppen generiert Identity Manager Architektur 39 40 Gruppenmitgliedschaften Bereitstellungsanforderungsdefinitionen Funktionstrennungsdefinitionen und verletzungen Benutzerberechtigungsverkn pfungen Ressourcendefinitionen und Ressourcenparameter Rollen und Ressourcenzuweisungen Identit tsdepotberechtigungen Berechtigungstypen und Treiber Treiber Verwaltetes System Gateway Dieser Treiber sammelt Daten von verwalteten Systemen Der Treiber f hrt zum Abrufen der Daten der verwalteten Systeme eine Identit tsdepotabfrage durch Folgende Daten werden abgerufen Liste aller verwalteten Systeme
31. die Befehlstransformation weitergeleitet Abonnent Im Abonnentenkanal wird der Hinzuf geprozessor verwendet um zu entscheiden ob es sich bei einem Ereignis um ein Ereignis vom Typ Hinzuf gen handelt Wenn es sich um ein Ereignis vom Typ Hinzuf gen handelt wird es von der bereinstimmungsregel verarbeitet Die Identity Manager Engine verwendet den Verkn pfungswert eines Identit tsdepotobjekts um dem Schnittstellenmodul die nderung des korrekten Objekts im verbundenen System zu erm glichen Weitere Informationen finden Sie unter Abschnitt 6 13 3 Verkn pfungen auf Seite 64 Wenn es sich nicht um ein Ereignis vom Typ Hinzuf gen handelt wird es im n chsten Schritt an die Befehlstransformation weitergeleitet Wenn ein Ereignis vom Typ ndern keine Verkn pfung enth lt die ein tats chliches Objekt bei Ankunft im Hinzuf geprozessor aufl st versucht die Identity Manager Engine es zu erstellen Dies ist der Vorgang des k nstlichen Hinzuf gens der sowohl im Herausgeber als auch im Abonnentenkanal ausgef hrt werden kann Die Identity Manager Engine verwendet das Ereignis vom Typ ndern um herauszufinden mit welchem Objekt gearbeitet werden soll Sie verwendet dann den Filter f r R ckfragen um alle Attribute abzurufen die f r dieses Objekt verf gbar und im aktuellen Kanal auf Synchronisieren oder Benachrichtigen festgelegt sind Sie verwirft das Ereignis vom Typ ndern
32. e Implementierungshandbuch f r Identity Manager 4 0 2 Treiber f r Salesforce com und im Identity Manager 4 0 1 Driver for SharePoint Implementation Guide Implementierungshandbuch f r Identity Manager 4 0 1 Treiber f r SharePoint Eingebettetes Identit tsdepot Die Architektur von Novell Identity Manager 4 x umfasst ein optionales integriertes Identit tsdepot wodurch das Erstellen und Verwalten einer separaten Verzeichnisstruktur f r Identit tszwecke nicht mehr erforderlich ist Zu den weiteren Ausstattungsmerkmalen der Novell Identity Manager 4 x Produktfamilie geh ren Treiber die eine problemlose Integration des Identit tsdepots in andere Repositorys mit Identit tsinformationen z B Active Directory oder verschiedene Datenbanken in Ihrem Unternehmen erm glichen Weitere Informationen finden Sie im Identity Manager 4 0 2 Integrated Installation Guide Handbuch zur integrierten Installation von Identity Manager 4 0 Vereinfachte Identit ts und Rollenverwaltung Die Novell Identity Manager 4 x Produktfamilie vereinfacht die Integration von unterschiedlichen Rollen Repositorys in einen konsolidierten Speicherort sodass Sie nicht unterschiedliche Identifikationsinformationsquellen verwalten m ssen ber die neue intuitive Benutzeroberfl che des Rollenzuordnungsadministrators k nnen Sie in Novell Identity Manager 4 x sogar Rollen und Profile von Drittanbietern zuordnen Weitere Informationen hierzu finden Sie im Novell Identity Ma
33. e Jetzt kann Designer vom Benutzer so konfiguriert werden dass der Rollenkatalog nicht mehr automatisch importiert werden soll Wenn ein Benutzer nicht m chte dass Rollen oder Ressourcen importiert werden kann er die Option Do not import role catalog excluding system roles Rollenkatalog nicht importieren au er Systemrollen auf der Seite Novell gt Provisioning gt Import Deploy Novell gt Provisioning gt Importieren Bereitstellen in den Designer Voreinstellungen deaktivieren Der Rollenkatalog wird dann nicht automatisch in Designer importiert wodurch die Benutzer Zeit sparen und diese Rollen und Ressourcen in Designer auch nicht verwalten m ssen Weitere Informationen finden Sie im Abschnitt Configuring Roles Konfigurieren von Rollen im User Application Design Guide Benutzeranwendung Entwurfshandbuch Entfernen nicht verwendeter Pakete aus dem Paketkatalog in Designer Wenn ein Benutzer ber eine gro e Anzahl nicht ben tigter Pakete verf gt die in den Paketkatalog importiert wurden bietet Designer 4 0 2 die M glichkeit an nicht verwendete Pakete aus dem Katalog zu l schen Dabei werden s mtliche importierten Pakete die nicht in einem Treiber Treibersatz oder Identit tsdepot installiert sind aus dem Projekt entfernt Weitere Informationen finden Sie im Abschnitt Removing Packages from the Package Catalog Entfernen von Paketen aus dem Paketkatalog im Designer 4 0 2 for Identity Manager 4 0 2 Adminis
34. e Funktionen f r die Workflow basierte Bereitstellung Mithilfe der Advanced Edition k nnen Sie Workflow Genehmigungsverfahren initiieren sowie Rollen und Ressourcen bereitstellen und von den Vorteilen der Konformit tsfunktionen profitieren Ein weiteres Ausstattungsmerkmal der Advanced Edition ist das Arbeits Dashboard Identity Manager 4 0 2 Advanced Edition ist als separate ISO Imagedatei erh ltlich Hinweis Au erdem ist eine 90 Tage TIestversion von Identity Manager 4 0 2 Advanced Edition verf gbar Identity Manager Standard Edition Um die verschiedenen Kundenbed rfnisse zu erf llen hat Novell Identity Manager 4 0 2 Standard Edition auf den Markt gebracht Die Standard Edition enth lt einen Teil der Funktionen der Identity Manager Advanced Edition Die Standard Edition bietet auch weiterhin alle Funktionen die in lteren Versionen von Identity Manager vorhanden sind Identit tsynchronisierung Automatische regelbasierte Bereitstellung Passwortverwaltung und Passwortselbstbedienung Identit tsselbstbedienung mit vorhandenen White Pages und Organigrammfunktionen Hinweis Beide Identity Manager Ausf hrungen Advanced und Standard enthalten weiterhin die gleichen Integrationsmodule Zus tzlich zu den oben aufgef hrten Funktionen umfasst die Standard Edition die folgenden Funktionen der Advanced Edition Erscheinungsbild der Benutzeroberfl che Berichterstellungsmodul Framework zum Verpac
35. e Lage Browser die Identit ts berichterstellung nm oO G J Anwen dur nger Berichtsinhalt a Benutzerschnittstelle REST Endpunkt f r nicht verwaltete Anwendung Integrations API In den folgenden Abschnitten finden Sie Beschreibungen dieser Komponenten sowie Erl uterungen der Konzepte die Sie verstehen sollten um die Komponenten erfolgreich implementieren und verwalten zu k nnen Abschnitt 4 2 1 Komponenten auf Seite 36 Abschnitt 4 2 2 Wichtige Konzepte auf Seite 37 Komponenten Benutzeranwendung Die Benutzeranwendung ist eine browserbasierte Webanwendung die Benutzern und Gesch ftsadministratoren die M glichkeit bietet verschiedene Identit tsselbstbedienungs und Rollenbereitstellungsaufgaben auszuf hren z B das Verwalten von Passw rtern und Identit tsdaten das Initiieren und berwachen von Bereitstellungs und Rollenzuweisungsanforderungen das Verwalten des Genehmigungsverfahrens f r Identity Manager 4 0 2 bersichtshandbuch 4 2 2 Bereitstellungsanforderungen und das Pr fen von Beglaubigungsberichten Sie beinhaltet die Workflow Engine die die Weiterleitung von Anforderungen im Rahmen des entsprechenden Genehmigungsverfahrens steuert Benutzeranwendungstreiber Der Benutzeranwendungstreiber speichert Konfigurationsinformationen und benachrichtigt die Benutzeranwendung ber nderungen im Identit tsdepot Er kann dar ber hinaus so konfiguriert werden das
36. e der Gesch ftsprozesse beschrieben die Sie durch die Implementierung eines Novell Identity Manager Systems automatisieren k nnen Wenn Sie die Identity Manager L sungen zur Automatisierung von Gesch ftsprozessen bereits kennen k nnen Sie direkt mit der technischen Einf hrung unter Kapitel 4 Identity Manager Architektur auf Seite 29 fortfahren Das Verwalten von Identit tsanforderungen stellt in den meisten Unternehmen eine Kernfunktion dar Stellen Sie sich beispielsweise einmal vor es ist fr h an einem Montagmorgen Sie gehen die Liste der Anforderungen in Ihrer Warteschlange durch Die Handynummer von Joachim Schmidt hat sich ge ndert Sie m ssen sie in der Personaldatenbank und in vier weiteren unabh ngigen Systemen aktualisieren Karen Hansen die gerade aus einem l ngeren Urlaub zur ckgekehrt ist hat ihr Email Passwort vergessen Sie m ssen ihr helfen es wiederzuerlangen oder zur ckzusetzen e Hans M ller hat gerade einen neuen Mitarbeiter eingestellt Sie m ssen f r den neuen Mitarbeiter den Netzwerkzugriff und ein Email Konto einrichten Ida Moser ben tigt Zugriff auf die Oracle Finanzdatenbank wof r Sie die Genehmigung von drei verschiedenen Vorgesetzten einholen m ssen Robert Meyer hat von der Buchhaltung in die Rechtsabteilung gewechselt Sie m ssen daf r sorgen dass er Zugriff auf dieselben Ressourcen erh lt wie die brigen Mitarbeiter der Rechtsabteilung und dass sein Zugriff auf die B
37. ein umfangreiches Schema das angepasst werden kann Die Daten im Depot stehen f r alle Protokolle zur Verf gung die von eDirectory unterst tzt werden einschlie lich NCP NetWare Core Protocol LDAP und DSML Identity Manager bietet keine zentrale Verwaltungsm glichkeit und l st auch nicht das Problem mehrerer Administratoren mit einem eigenen Administrator f r jede Anwendung Das Programm l st allerdings das Problem doppelter inkonsistenter Daten in den einzelnen Anwendungen Beispielsweise werden Daten die von einem PeopleSoft System zu Lotus Notes synchronisiert wurden zun chst dem Identit tsdepot hinzugef gt und dann an das Lotus Notes System gesendet In einer typischen Identit tsdepotumgebung befindet sich ein Identit tsdepot im Zentrum an das andere Anwendungen angeschlossen sind Die Identity Manager Architektur kann man sich als mehrere Eins zu Eins Beziehungen oder als Speichennetz vorstellen Jede einzelne Beziehung besteht zwischen dem Identity Manager Identit tsdepot und einer bestimmten verbundenen Anwendung Identity Manager 4 0 2 bersichtshandbuch Abbildung 6 1 Fehlerbaumanalyse Bandexterne Anforderungen k nnen von E Bedingung oder Aktion in einer Regel ausgegeben werden Abonnent Cache des Nicht Teil Treibers des Kanal Threads Aktionen in Identity Manager 51 52 6 2 Ein Treiber ist ein Anwendungsschnittstellenmodul das mit Richtlinien kombiniert ist und Identity Manager die
38. ellungsmodul bietet mehrere REST APIs mit denen Sie REST Endpunkte f r nicht verwaltete Anwendungen festlegen sowie benutzerdefinierte Anwendungen f r die Berichterstellung schreiben k nnen Identity Manager 4 0 2 bersichtshandbuch Identity Manager Werkzeuge Identity Manager stellt Ihnen Werkzeuge zum Erstellen und Verwalten Ihrer Identity Manager L sung zur Verf gung Mit jedem Werkzeug werden spezifische Funktionen ausgef hrt Abbildung 5 1 Identity Manager Werkzeuge Verwaltete Systeme j dk e WS af Remote amp FC 3 Loader AD Anwendung d e r O f Benutzer anwendungs treiber Rodenservice Treiber E r NO Benutzer anwendung Rollen und DEI Beglaubigun ba Treiber Datener Verwaltetes fassungs P BR System dienst Sl Designer 4 4 Gateway treiber ZS KI gt z Paket Selbstbedienung Event Rollen a Auditing zum Treiber zuordnungs i Service Verwaltetes vom Datener administrator System fassungs e Gateway diensttreiber Auditing E Administratoren Berichts datenkollektor Ereignis E arehouse f r Berichte Wa jr zieren esteuerter die Identit ts Datenkollekt berichterstellung veer Berichtsinhalt D tenkollektor f r nicht EN J verwaltete Anwendungen REST Endpunkt Integrations API f r nicht verwaltete Anwendung m gt w Identity Manager Werkzeuge 41 42 5 1 Mithilfe von Designer k nnen Sie Ihr Identity M
39. en Sie k nnen auch eine Benutzeranwendungs L sung erstellen Verwenden Sie hierzu das Benutzeranwendung Designhandbuch 4 Mit Designer k nnen Sie Informationen in einem Projekt erfassen und die Informationen f r andere Personen freigeben Sie k nnen die L sung im Designer zun chst modellieren bevor Sie Anderungen vornehmen Weitere Informationen ber Designer finden Sie unter Designer f r Identity Manager Vorbereiten der Daten f r die Synchronisierung Wenn Sie Ihren Plan erstellt haben m ssen Sie die Daten in Ihrer Umgebung f r die Synchronisierung vorbereiten Mithilfe von Analyzer analysieren und bereinigen Sie die Daten und bereiten diese f r die Synchronisierung vor Weitere Informationen hierzu finden Sie im Analyzer 4 0 2 for Identity Manager Administration Guide Administrationshandbuch zu Analyzer 4 0 1 f r Identity Manager Installation oder Aufr stung von Identity Manager Wenn Sie Ihren Plan erstellt und die Daten vorbereitet haben k nnen Sie Identity Manager installieren Wenn Sie eine kleine bis mittlere IT Umgebung haben und Identity Manager zum ersten Mal verwenden ist es am besten das integrierte Installationsprogramm zu verwenden Das Weitere Schritte 71 72 7 4 7 4 1 integrierte Installationsprogramm installiert und konfiguriert alle in Identity Manager enthaltenen Komponenten Weitere Informationen finden Sie im Identity Manager 4 0 2 Integrated Installation Guide Handbuch zur integrierten
40. en benutzerdefinierten REST Endpunkt implementieren um Daten von diesen Anwendungen zu erfassen Dar ber hinaus k nnen Sie die Daten anpassen die per Push Verfahren in das Identit tsdepot bertragen werden Wenn diese Daten verf gbar sind k nnen Sie benutzerdefinierte Berichte schreiben um diese Informationen anzuzeigen Identity Manager Werkzeuge 47 48 Identity Manager 4 0 2 bersichtshandbuch Aktionen in Identity Manager Identity Manager umfasst vier Komponenten Die Identity Manager Engine die das Framework bereitstellt Die Identity Manager Richtlinien die die Zuordnung von Attributen und Klassen sowie die bereinstimmung und Erstellung von Eintr gen steuern Ereignisfilter die die Richtung der Datensynchronisierung steuern Das Identity Manager Treiberschnittstellenmodul das als Schnittstelle zwischen der Anwendung und der Identity Manager Engine fungiert In diesem Abschnitt werden kurz die Identity Manager Prozesse und Aktionen erkl rt Die Identity Manager Architektur wird hier nicht behandelt Diese Informationen werden ansatzweise im Abschnitt Kapitel 4 Identity Manager Architektur auf Seite 29 erkl rt Eine detaillierte Erkl rung zur Identity Manager Architektur finden Sie in der Entwicklungsdokumentation Sie m ssen die folgenden Abschnitte der Reihe nach lesen um den Ereignisfluss und die Prozesse zu verstehen die auf die Ereignisse in Identity Manager und das verbundene System ange
41. endungen werden h ufig als verbundene Systeme bezeichnet Wichtige Konzepte Kan le Der Datenfluss zwischen dem Identit tsdepot und einem verbundenen System erfolgt durch zwei separate Kan le Der Abonnentenkanal erm glicht den Datenfluss vom Identit tsdepot zu einem verbundenen System Anders ausgedr ckt das verbundene System abonniert Daten aus dem Identit tsdepot Der Herausgeberkanal erm glicht den Datenfluss von einem verbundenen System zum Identit tsdepot Anders ausgedr ckt das verbundene System ver ffentlicht Daten im Identit tsdepot Darstellung von Daten Daten flie en als XML Dokumente durch einen Kanal Ein XML Dokument wird erstellt wenn eine nderung im Identit tsdepot oder im verbundenen System auftritt Das XML Dokument wird an die Identity Manager Engine bergeben die es mit den Filtern und Richtlinien verarbeitet die dem Kanal des Treibers zugewiesen sind Nachdem das XML Dokument vollst ndig verarbeitet wurde initiiert die Identity Manager Engine mithilfe des Dokuments die entsprechenden nderungen im Identit tsdepot Herausgeberkanal bzw der Treiber initiiert die entsprechenden nderungen im verbundenen System Abonnentenkanal Datenmanipulation Wenn ein XML Dokument durch einen Treiberkanal flie t wirken sich die dem Kanal zugewiesenen Richtlinien auf die Dokumentdaten aus Richtlinien werden f r viele Zwecke eingesetzt z B zum ndern von Datenformaten zum Zuordnen von Attributen zwischen
42. enname Gleich Group Aktionen k nnen f r das aktuelle Dokument ausgef hrt werden und in vielen F llen reicht dies auch aus Doch Aktionen k nnen auch die Quelle oder das Ziel abfragen also entweder das Identit tsdepot oder das verbundene System abh ngig davon welchen Kanal Sie verwenden um zus tzliche Informationen zu erhalten Aktionen k nnen das aktuelle Dokument ndern um eine ge nderte Version dieses Dokuments zu erstellen Sie k nnen das aktuelle Dokument aber auch vollst ndig sperren Aktionen k nnen verwendet werden um unterschiedliche Dokumente zu erstellen Ein Dokument das ein L schereignis in einem verbundenen System beschreibt k nnte von einer Bedingung getestet werden wenn Aktion gleich L schung Es k nnte einen Satz von Aktionen ausl sen um zu verhindern dass das verkn pfte Objekt in eDirectory gel scht wird Veto und Aktionen in Identity Manager 61 62 stattdessen dieses Objekt ge ndert wird um dessen Verkn pfungswert f r diese Anwendung zu entfernen Verkn pfung entfernen und um es zu deaktivieren Zielattributwert Anmeldung deaktiviert auf Wahr festlegen Abbildung 6 3 Aktionen des Richtlinien Builders v7 Verkn pfung entfernen Verkn pfung Verkn pfungO v 7 Zielattributwert festlegen Login Disabled true 7 Veto einlegen Richtlinien definieren welche Daten bertragen und wie die Daten zwischen dem verbundenen System und dem Identit tsdepot synchronisiert
43. esserungen bei der Integrations Aktivit t f r Workflows Designer 4 0 2 enth lt verschiedene Verbesserungen an der Integrations Aktivit t im Provisioning Request Definition Editor wie das Aufl sen von Animationsfehlern und das Reduzieren der Gr e Funktionen von Identity Manager 4 0 2 19 20 bereitgestellter PRDs Au erdem k nnen Benutzer jetzt mithilfe der Integrations Aktivit t SOAP Anforderungen f r die Aktivit t in der Designer Benutzeroberfl che leichter generieren Weitere Informationen finden Sie im Abschnitt Adding an Integration Activity Hinzuf gen einer Integrations Aktivit t im User Application Design Guide Benutzeranwendung Entwurfshandbuch Leistungsverbesserungen in Designer Designer 4 0 2 verf gt ber verschiedene Verbesserungen bei der Leistung Dazu geh ren eine bessere Leistung beim Verwenden der verschiedenen im Produkt enthaltenen Editoren eine verbesserte Darstellung der Konfigurationsseiten in der Benutzeroberfl che eine h here Geschwindigkeit von Project Checker sowie gel ste Speicherprobleme F r weitere Informationen ffnen Sie Designer 4 0 2 und klicken Sie in der Symbolleiste auf Help gt What s New Hilfe gt Neuigkeiten Designer Optimierung f r optionalen Import von Rollen und Ressourcen Beim Konfigurieren eines Projekts in Designer war es bisher erforderlich dass automatisch eine gro e Anzahl von Rollen und Ressourcen aus dem Identit tsdepot importiert werden musst
44. et werden wenn sie von der Identity Manager Engine aufgerufen werden Sie wird auch auf die XML Dokumente angewendet die von xmlCommandProcessor execute und XmlQueryProcessor query zur ckgesendet werden wenn sie vom Schnittstellenmodul aufgerufen werden Die Ausgabetransformationsregel wird nach der Schemazuordnungsrichtlinie angewendet Die Ausgabetransformationsregel ist die Umkehrung der Eingabetransformationsregel Sie ndert den Befehl der wie erforderlich an das Schnittstellenmodul bertragen werden soll Dazu muss normalerweise das r ckg ngig gemacht werden was in der Eingabetransformationsregel ausgef hrt wurde Wenn Sie beispielsweise eine Eingabetransformationsregel haben die Telefonnummern im Format 1 815 555 1212 in das Format 1 815 555 1212 konvertiert dann brauchen Sie eine Ausgabetransformationsregel die 1 815 555 1212 in 1 815 555 1212 konvertiert Aktionen in Identity Manager 63 6 13 3 6 13 4 Sie k nnen die Ausgabetransformationsrichtlinie auch f r die Transformation von dem Format das Identity Manager verwendet in ein beliebiges natives XML Format der verbundenen Anwendung verwenden Diese Transformationen m ssen in XSLT geschrieben werden weil das DirXML Skript nur mit dem XML Vokabular arbeitet das f r Identity Manager spezifisch ist Verkn pfungen Mit dem Wert Verkn pfung bleibt Identity Manager auf dem Laufenden dar ber welches Objekt im verbundenen System mit einem Objekt im Identit tsdep
45. f r die Verarbeitung im Kanal in die Warteschlange gestellt wurde und die Eingabetransformation die Schemazuordnung und die Ereignistransformation durchlaufen hat dann werden die Synchronisierungsattribute aus dem Eingabedokument ausgew hlt und alle Attribute die nicht auf Synchronisieren oder Benachrichtigen festgelegt wurden werden entfernt Attribute die auf Zur cksetzen festgelegt wurden werden auch durch Abfragen des Identit tsdepots nach dem korrekten Wert verarbeitet Der korrekte Wert wird an die Anwendung zur ckgesendet um die gerade vorgenommene nderung r ckg ngig zu machen Im Abonnentenkanal arbeitet der Synchronisierungsfilter genauso wie f r den Herausgeberkanal Der einzige Unterschied besteht darin dass Ereignisse vom Identit tsdepot anstatt vom verbundenen System kommen Benachrichtigungsattribut Mit dem Benachrichtigungsattribut k nnen Sie Attributdaten vom Ereignisdokument verwenden ohne die Daten mit dem Identit tsdepot synchronisieren zu m ssen Sie ben tigen beispielsweise den Vornamen zweiten Vornamen und Familiennamen einer Person aus dem HR System um ein Konto zu erstellen m chten aber den zweiten Vornamen nicht im Identit tsdepot speichern Wenn Sie das Attribut des zweiten Vornamens auf Benachrichtigen festlegen k nnen Sie auf den Identity Manager 4 0 2 bersichtshandbuch 6 8 6 8 1 6 8 2 Attributwert zugreifen ohne ihn im Identit tsdepot speichern zu m ssen
46. ger 4 0 2 bersichtshandbuch 6 13 1 6 13 2 Abschnitt 6 13 4 K nstliches Hinzuf gen auf Seite 64 Abschnitt 6 13 5 Verarbeitung der Zusammenf hrung auf Seite 66 Eingabetransformationsregel Die Eingabetransformationsregel betrifft sowohl den Abonnentenkanal als auch den Herausgeberkanal Der Zweck der Eingabetransformationsregel besteht darin eine vorl ufigeTransformation an allen XML Dokumenten vorzunehmen die vom verbundenen System an Identity Manager gesendet wurden und vom verbundenen System aus an Identity Manager zur ckgesendet wurden Die Eingabetransformationsregel wird auf die XML Dokumente angewendet die an XnlCommandProcessor execute und XmlQueryProcessor query gesendet werden wenn sie vom verbundenen System aufgerufen werden Sie wird auch auf die XML Dokumente angewendet die von SubscriptionShim execute und XmlQueryProcessor query zur ckgesendet werden wenn sie von der Identity Manager Engine aufgerufen werden Die Eingabetransformationsrichtlinie wird vor der Schemazuordnungsrichtlinie angewendet Die Eingabetransformationsregel wird oft verwendet um Daten vom Anwendungsformat in das Identit tsdepotformat zu transformieren W hrend die Eingabetransformation f r Datenformattransformationen verwendet wird f hrt die Ausgabetransformationsregel die Datentransformation normalerweise in die entgegengesetzte Richtung durch das hei t sie transformiert die Daten vom Identit tsdepotformat in das Anwe
47. h Abbildung 1 2 Verbinden mehrerer Systeme mit Identity Manager SAP Novell PeopleSoft eDirectory Identity Microsoft Lotus Notes Manager Exchange Microsoft Den LDAP Active Directory Directory Sie steuern den Datenfluss zwischen den verbundenen Systemen Unter anderem bestimmen Sie welche Daten gemeinsam genutzt werden welches System die autorisierte Quelle f r bestimmte Daten ist und wie die Daten interpretiert und transformiert werden um den Anforderungen anderer Systeme gerecht zu werden Im nachfolgenden Diagramm ist die SAP Personaldatenbank die autorisierte Quelle f r die Telefonnummer eines Benutzers Das Lotus Notes System verwendet ebenfalls Telefonnummern daher wandelt Identity Manager die Nummer in das erforderliche Format um und bertr gt sie an das Lotus Notes System Jedes Mal wenn die Telefonnummer im SAP Personalsystem ge ndert wird werden die Daten im Lotus Notes System synchronisiert Abbildung 1 3 Datensynchronisierung verbundener Systeme 801 555 1234 801 555 1234 Identity Manager SAP Lotus Notes Das Verwalten der Daten vorhandener Benutzer stellt nur die erste Ebene der Datensynchronisierungsfunktionen von Identity Manager dar Zus tzlich k nnen mit Identity Manager in Verzeichnissen wie Active Directory auf Systemen wie PeopleSoft und Lotus Notes und unter Betriebssystemen wie UNIX und Linux neue Benutzerkonten erstellt und vorhandene Konten entfernt werden Wenn Sie beispielswe
48. halten Abschnitt 7 4 1 Datensynchronisierung auf Seite 72 Abschnitt 7 4 2 Zuordnen von Rollen auf Seite 73 Abschnitt 7 4 3 Konfiguration der Benutzeranwendung auf Seite 73 Abschnitt 7 4 4 Konfigurieren von Revision Berichterstellung und Konformit t auf Seite 73 Datensynchronisierung Identity Manager verwendet Treiber zum Synchronisieren von Daten zwischen verschiedenen Anwendungen Datenbanken Betriebssystemen und Verzeichnissen Nach der Installation von Identity Manager m ssen Sie einen oder mehrere Treiber f r jedes System konfigurieren mit dem Sie Daten synchronisieren m chten Zu jedem Treiber gibt es ein Handbuch in dem die Anforderungen und Konfigurationsschritte erl utert werden die zum Synchronisieren der Daten erforderlich sind Die Treiberhandb cher befinden sich auf der Dokumentations Website f r Identity Manager 4 0 2 Treiber http www netig com documentation idm402drivers index htm Verwenden Sie das entsprechende Treiberhandbuch f r jedes verwaltete System um den Treiber zum Synchronisieren der Identit tsdaten zu erstellen Identity Manager 4 0 2 bersichtshandbuch 7 4 2 7 4 3 7 4 4 Zuordnen von Rollen Wenn Sie Informationen haben die zwischen den verschiedenen Systemen synchronisiert werden m ssen verwenden Sie den Rollenzuordnungsadministrator zum Verwalten der Rollen in den verschiedenen Systemen Weitere Informationen finden Sie im Novell Identit
49. ichte enthalten keine Verlaufsdaten In der Standard Edition ist es beim Erstellen von Berichten nicht m glich Daten zum Statusverlauf abzurufen Die Standard Edition gibt nur Daten wieder die den aktuellen Status des Systems widerspiegeln Einige Berichte sind nicht verf gbar In Identity Manager 4 0 und neueren Versionen wurden mehrere neue Berichte hinzugef gt Die Standard Edition beinhaltet keine Berichte die auf Daten zu verbundenen Systemen und historische Daten angewendet werden k nnen Einige Berichte enthalten keine Daten Einige Berichte sind nur f r die Verwendung mit der Identity Manager Advanced Edition sinnvoll da sie Daten beinhalten die in der Standard Edition nicht verf gbar sind z B Rollen Ressourcen und Workflow Prozesse Compliance Management Plattform Die Novell Compliance Management Plattform kombiniert die Novell Produkte zur Identit ts Zugriffs und Sicherheitsverwaltung mit bew hrten Werkzeugen die eine einfache Implementierung und Verwaltung der L sung erm glichen Die Plattform integriert Identit ts und Zugriffsdaten in Sicherheitsdaten und Ereignismanagement Technologien und liefert so einen holistischen Echtzeit berblick ber alle Netzwerkereignisse im Unternehmen Diese enge Integration liefert leistungsstarke Funktionen f r das Risikomanagement und stellt sicher dass die Gesch ftspolitik automatisch in den IT Alltag eingebunden wird Weitere Informationen hierzu finden Sie auf der Website
50. ichtigkeit des Berichts In dem Bericht sind alle Ausnahmen aufgef hrt die es erlauben einem Benutzer widerspr chliche Rollen zuzuweisen Rollenzuweisungsbeglaubigung Verantwortliche Mitarbeiter pr fen einen Bericht in dem ausgew hlte Rollen zusammen mit den Benutzern Gruppen und Rollen aufgef hrt sind die den einzelnen Rollen zugewiesen sind Die verantwortlichen Mitarbeiter m ssen dann die Korrektheit der Informationen best tigen Benutzerzuweisungsbeglaubigung Verantwortliche Mitarbeiter pr fen einen Bericht in dem ausgew hlte Benutzer zusammen mit den Rollen aufgef hrt sind denen sie zugewiesen sind Die verantwortlichen Mitarbeiter m ssen dann die Korrektheit der Informationen best tigen Automatisierung von Gesch ftsprozessen mit Identity Manager 13 14 1 4 Diese Beglaubigungsberichte sollen Ihnen in erster Linie dabei helfen sicherzustellen dass die Rollenzuweisungen korrekt sind und dass es g ltige Gr nde f r das Zulassen von Ausnahmen f r widerspr chliche Rollen gibt Selbstbedienung Vermutlich gibt es bei Ihnen Vorgesetzte und Abteilungen die ihre Benutzerinformationen und Zugriffsanforderungen lieber selbst verwalten w rden als dies Ihnen oder Ihren Mitarbeitern zu berlassen Wie oft haben Sie schon S tze geh rt wie Warum kann ich meine Handynummer in unserem Unternehmensverzeichnis nicht selbst ndern Oder Ich arbeite in der Marketing Abteilung Warum muss ich den Helpdesk an
51. ie des Datenabgleichs der Daten berwachung und der Datenberichterstellung interne Datenqualit tsrichtlinien eingehalten werden Mit Analyzer k nnen Sie alle Datenspeicher des Unternehmens analysieren verbessern und kontrollieren Identity Manager 4 0 2 bersichtshandbuch Abbildung 5 2 Analyzer f r Identity Manager Entwicklung und Konformit t Analyzer GC oz Treiber f r Text mit Flatfile mit Auf Konformit t analysieren 5 2 Designer Designer ist ein Eclipse basiertes Werkzeug mit dessen Hilfe Sie das Identity Manager System entwerfen bereitstellen und dokumentieren k nnen Mit der grafischen Schnittstelle von Designer k nnen Sie Ihr System in einer Offline Umgebung entwerfen und testen das System in Ihrer Produktionsumgebung bereitstellen und alle Details Ihres bereitgestellten Systems dokumentieren Identity Manager Werkzeuge Begrenzungszeichen Begrenzungszeichen 43 A4 Abbildung 5 3 Designer f r Identity Manager Testumgebung Entwicklung Dokumentation gt H 4 Paket Entwerfen Designer bietet eine grafische Schnittstelle ber die Sie Ihr System modellieren k nnen Dabei stehen Ansichten zur Verf gung in denen Sie die Verbindungen zwischen Identity Manager und Anwendungen erstellen und steuern Richtlinien konfigurieren und den Datenfluss zwischen verbundenen Anwendungen manipulieren k nnen Bereitstellen Ihre in Designer ausgef hrte Arbeit wird erst dann in Ihrer P
52. ielsweise in eine nderung transformiert werden die dazu f hrt dass das Objekt archiviert wird Blockieren von Befehlen Hinzuf gen von weiteren Befehlen Steuern der Ausgabe des Vorgangs der Zusammanf hrung durch die Identity Manager Engine Abschnitt 6 12 1 Herausgeber auf Seite 60 Abschnitt 6 12 2 Abonnent auf Seite 61 Herausgeber Hier wird die fr here Verzweigung am Hinzuf geprozessor wieder in den Fluss eingef gt Alle Ereignisse werden von der Befehlstransformationsregel verarbeitet Die meisten Treiberrichtlinien befinden sich in der Befehlstransformation weil genau dort die Konversion vom Ereignis zum Befehl stattfindet Bis zu diesem Punkt hat das Dokument ein Ereignis beschrieben das im verbundenen 60 Identity Manager 4 0 2 bersichtshandbuch 6 12 2 6 13 System aufgetreten ist Nun wird dieses Ereignis in einen Befehl transformiert und auf das Identit tsdepot angewendet Es ist die letzte M glichkeit zur Anderung des Befehls bevor er auf das Identit tsdepot angewendet wird Abonnent Im Abonnentenkanal befinden sich die meisten Treiberrichtlinien in der Befehlstransformation weil dies logischerweise der Vorgang ist in dem die Konversion vom Ereignis zum Befehl stattfindet bevor die Schemazuordnungsrichtlinie angewendet wird Sowohl die Schemazuordnungsrichtlinie als auch die Ausgabetransformationsrichtlinie werden nach der Befehlstransformationsrichtlinie im Abonnentenkanal ausgef h
53. igung getroffen was bedeutet dass die Richtlinien f r die einzelnen vier Treiber die Gesch ftslogik nicht enthalten m ssen Stattdessen m ssen die Richtlinien nur den Mechanismus f r die Gew hrung des Kontos liefern Wenn Sie eine nderung an der Gesch ftslogik vornehmen m ssen f hren Sie dies in der Berechtigung aus und nicht in den einzelnen Treibern Auftr ge Die meisten Aktionen die Identity Manager ausf hrt erfolgen als Reaktion auf Daten nderungen oder Benutzeranforderungen Wenn beispielsweise Daten in einem System ge ndert werden ndert Identity Manager die entsprechenden Daten in einem anderen System Wenn ein Benutzer Zugriff auf ein System anfordert initiiert Identity Manager die entsprechenden Prozesse Workflows Ressourcenbereitstellung usw f r die Gew hrung des Zugriffs Auftr ge erm glichen Identity Manager das Ausf hren von Aktionen die nicht durch Daten nderungen oder Benutzeranforderungen initiiert werden Ein Auftrag besteht aus Konfigurationsdaten die im Identit tsdepot gespeichert sind und einem entsprechenden Implementierungscode Identity Manager enth lt vordefinierte Auftr ge die Aktionen wie das Starten oder Anhalten von Treibern das Senden von Email Benachrichtigungen ber ablaufende Passw rter und das Pr fen des Zustands von Treibern ausf hren Sie k nnen auch benutzerdefinierte Auftr ge zur Durchf hrung weiterer Aktionen implementieren F r einen benutzerdefinierten Auftrag m sse
54. inistratoren bestimmte Autorisierungen f r bestimmte Gesch ftsrollen zu definieren und zu verwalten Identity Manager Werkzeuge 45 Abbildung 5 5 Rollenzuordnungsadministrator Idertnatsdepot Teiienster Autornsierungs Teilfensier Own an Cen DCnsrariter Dee OO amea Chem mar DC many OCeore De ve Kin SH KH eg ESCH KN org eg ebe pen eng so E Liste der Identit tsdepotrollen Liste der Zuordnungen Liste der Autorisierungen 5 5 Identit tsberichterstellung Mit dem Identit tsberichterstellungsmodul k nnen Sie Berichte generieren die unternehmenskritische Informationen zu verschiedenen Aspekten Ihrer Identity Manager Konfiguration liefern einschlie lich erfasster Informationen zu Identit tsdepots oder verwalteten Systemen z B Active Directory oder SAP Das Berichterstellungsmodul enth lt eine Reihe von vordefinierten Berichtsdefinitionen die Sie zum Generieren von Berichten verwenden k nnen Zus tzlich haben Sie die M glichkeit benutzerdefinierte Berichte zu importieren die in einem Drittanbieter Werkzeug definiert sind ber die Benutzeroberfl che des Berichterstellungsmoduls k nnen Sie problemlos festlegen dass die Berichtgenerierung au erhalb der Hauptgesch ftszeit ausgef hrt und somit die Systemleistung nicht beeintr chtigt wird 46 Identity Manager 4 0 2 bersichtshandbuch Abbildung 5 6 Identit tsberichterstellungsmodul N Arbeits Dashboard Kal DI Novell Identity Repo
55. ise einen neuen Mitarbeiter zu Ihrem SAP Personalsystem hinzuf gen kann Identity Manager automatisch ein neues Benutzerkonto in Active Directory ein neues Konto in Lotus Notes und ein neues Konto in einem Linux NIS Kontenverwaltungssystem erstellen Automatisierung von Gesch ftsprozessen mit Identity Manager 9 10 Abbildung 1 4 Erstellung von Benutzerkonten in verbundenen Systemen Benutzer A SAP Identity Manager Linux Lotus Notes Active Directory Benutzer A Benutzer A Benutzer A Im Rahmen der Datensynchronisierungsfunktion kann Identity Manager Sie auch bei der Synchronisierung von Passw rtern zwischen verschiedenen Systemen unterst tzen Wenn ein Benutzer beispielsweise sein Passwort in Active Directory ndert kann Identity Manager diese nderung an Lotus Notes und Linux weitergeben Identity Manager 4 0 2 bersichtshandbuch 1 2 Abbildung 1 5 Passwortsynchronisierung verbundener Systeme Benutzer A Active Directory Passwort Novell Identity Manager Linux Lotus Notes D Passwort Novell Passwort Novell p Benutzer A Benutzer A Workflow Wahrscheinlich ist f r den Zugriff auf viele Ressourcen in Ihrer Organisation keine Genehmigung erforderlich M glicherweise ist der Zugriff auf einige Ressourcen jedoch beschr nkt und muss von einer oder mehreren Personen genehmigt werden Identity Manager bietet Workflow Funktionen die sicherstellen dass bei Ihren Bereitstellungsprozesse
56. ity Manager Standard Edition noch zus tzliche Funktionen Die Compliance Management Plattform ist mit den Funktionen der Advanced und Standard Edition sowie zus tzlichen Werkzeugen ausgestattet Abbildung 3 1 Identity Manager Produktgruppen Novell Compliance Management Plattform L ckenlose Konformit t und berwachung Novell Identity Manager 4 Advanced Edition Service Bereitstellung mit erweiterten Berichterstellungsfunktionen f r Unternehmen und Clouds Novell Identity Manager 4 Standard Edition Identit ts und Passwortverwaltung in Echtzeit Eine Gegen berstellung der Funktionen der Advanced und der Standard Edition von Identity Manager finden Sie im Versionenvergleich zu Identity Manager http www novell com products identitymanager features identitymanager version comparison htm Abschnitt 3 1 Identity Manager Advanced Edition auf Seite 24 Abschnitt 3 2 Identity Manager Standard Edition auf Seite 24 Identity Manager Familie 23 24 3 1 3 2 Abschnitt 3 3 Compliance Management Plattform auf Seite 26 Abschnitt 3 4 Aktivieren der Standard und Advanced Edition von Identity Manager auf Seite 27 Identity Manager Advanced Edition Die Identity Manager 4 0 2 Advanced Edition enth lt einen vollst ndigen Satz an Funktionen zur Bereitstellung f r Benutzer der Unternehmensklasse Sie enth lt die Identit tsselbstbedienungsfunktionen der Standard Edition sowie umfassend
57. ken von Inhalten Unterst tzung f r REST APlIs und Single Sign on SSO Analyzer Werkzeug f r den Datenabgleich Identity Manager 4 0 2 Standard Edition steht als separate ISO Imagedatei zum Download zur Verf gung Wenn Sie von der Standard Edition zur Advanced Edition aufr sten m chten verwenden Sie die Identity Manager Advanced Edition ISO Imagedatei Sie m ssen die richtige Identity Manager 4 0 2 bersichtshandbuch Aktivierung anwenden um auf die Advanced Edition aufr sten zu k nnen Weitere Informationen zum Aufr sten der Standard Edition auf die Advanced Edition finden Sie im Identity Manager 4 0 2 Upgrade and Migration Guide Aufr stungs und Migrationshandbuch zu Identity Manager 4 0 1 Es ist nicht m glich von einer installierten Identity Manager Advanced Edition zur Standard Edition zu wechseln indem Sie die ISO Imagedatei der Standard Edition verwenden Wenn Sie von der Identity Manager Advanced Edition zur Standard Edition wechseln m chten deinstallieren Sie zun chst die Advanced Edition vom Server und installieren Sie dann die Standard Edition ISO Imagedatei vom Identity Manager Medium Folgende Funktionen stehen in Identity Manager Standard Edition nicht zur Verf gung Der Rollenzuordnungsadministrator ist nicht verf gbar Folgende Beschr nkungen gelten f r die Benutzeranwendung Gesch ftsbenutzer haben nur Zugriff auf die Registerkarte Identit tsselbstbedienung Wenn Sie sich al
58. kodiert und verwendet einen spezifischen Schl ssel Schnittstellenmodul Ein Schnittstellenmodul ist ein kompilierter Code der die Befehle und Daten zwischen einer Anwendung und Identity Manager bertr gt Das Treiberschnittstellenmodul ist oft in Java geschrieben das native Aufrufe der Anwendungsprogrammierschnittstelle Application Programming Interface API verwendet die das System den Entwicklern zur Verf gung stellt Identity Manager 4 0 2 bersichtshandbuch 6 3 Hierbei kann es sich um LDAP Standardaufrufe native Windows Active Directory Aufrufe oder auch JDBC Verbindungen f r SQL Datenbanken handeln Das Schnittstellenmodul ist f r folgende Aufgaben zust ndig bersetzen der Informationen in der Anwendung in ein Standard XML Dokument Herstellen und Warten der Verbindung zur verbundenen Anwendung Verwalten der von Identity Manager und der verbundenen Anwendung gesendeten Befehle berwachen der verbundenen Anwendung auf nderungen Wenn beispielsweise das verbundene System ein HR System ist und ein neuer Mitarbeiter eingestellt wird muss das Schnittstellenmodul ein XML Dokument erstellen das diese Informationen beschreibt In Identity Manager Terminologie ist dies ein Ereignis vom Typ Hinzuf gen und ein XML Dokument wird erstellt um dieses Ereignis der Engine zu erkl ren Das Ereignis wird an die Engine gesendet und ein neuer Benutzer wird am angegebenen Standort erstellt Nachdem das neue Benutzerobjekt
59. llektor f r nicht a f verwaltete Ze a Anwendungen REST Endpunkt Integrations API f r nicht verwaltete Anwendung Km e In den folgenden Abschnitten finden Sie Beschreibungen dieser Komponenten und Erl uterungen der Konzepte die Sie verstehen sollten um in Ihrer Organisation eine erfolgreiche Datensynchronisierung zwischen verschiedenen Systemen durchf hren zu k nnen Abschnitt 4 1 1 Komponenten auf Seite 31 Abschnitt 4 1 2 Wichtige Konzepte auf Seite 32 4 1 1 Komponenten Identit tsdepot Das Identit tsdepot dient als Metaverzeichnis der Daten die zwischen Anwendungen synchronisiert werden sollen Zum Beispiel werden Daten die von einem PeopleSoft System nach Lotus Notes synchronisiert werden zuerst zum Identit tsdepot hinzugef gt bevor sie Identity Manager Architektur 31 32 4 1 2 an das Lotus Notes System gesendet werden Au erdem werden im Identit tsdepot Identity Manager spezifische Informationen gespeichert z B Treiberkonfigurationen Parameter und Richtlinien F r das Identit tsdepot wird Novell eDirectory verwendet Identity Manager Engine Wenn im Identit tsdepot oder in einer verbundenen Anwendung Daten ge ndert werden verarbeitet die Identity Manager Engine die nderungen Bei Ereignissen die im Identit tsdepot auftreten verarbeitet die Engine die nderungen und sendet ber den Treiber Befehle an die Anwendung Bei Ereignissen die in der Anwendung auftreten empf
60. llung verwendete Datenbankansichten und Konfigurationsinformationen Identifikationsdaten die vom Berichtsdatenkollektor vom ereignisgesteuerten Datenkollektor und vom Datenkollektor f r nicht verwaltete Anwendungen gesammelt wurden Revisionsdaten mit Ereignissen die vom Event Auditing Service erfasst wurden Die Daten des Identit tsinformations Warehouses werden in der SIEM Datenbank Security Information and Event Management gespeichert Datenerfassungsdienst Ein Dienst der Informationen von verschiedenen Quellen innerhalb der Organisation sammelt Der Datenerfassungsdienst ist in drei Unterdienste unterteilt Berichtsdatenkollektor Verwendet ein Pull Modell zum Abrufen von Daten aus einer oder mehreren Identit tsdepot Datenquellen Die Sammlung der Daten wird regelm ig auf Grundlage der festgelegten Konfigurationsparameter durchgef hrt Der Kollektor ruft zum Abrufen der Daten den Treiber Verwaltetes System Gateway auf Ereignisgesteuerter Datenkollektor Verwendet ein Push Modell zum Sammeln von Ereignisdaten die vom Datenerfassungsdiensttreiber erfasst wurden Datenkollektor f r nicht verwaltete Anwendungen Ruft Daten von einer oder mehreren nicht verwalteten Anwendungen ab indem er einen speziell f r jede Anwendung geschriebenen REST Endpunkt aufruft Nicht verwaltete Anwendungen sind Anwendungen in Ihrem Unternehmen die nicht mit dem Identit tsdepot verbunden sind Weitere Informationen hierzu fin
61. m Allgemeinen als autorisierte Quelle f r die Email Adresse eines Mitarbeiters betrachtet Wenn ein Administrator des White Pages Verzeichnis des Unternehmens die Email Adresse eines Mitarbeiters in diesem System ndert hat die nderung keine Auswirkung darauf ob der Mitarbeiter tats chlich an die ge nderte Adresse gesendete Emails empf ngt da die nderung im Email System erfolgen muss damit sie wirksam ist Identity Manager legt autorisierte Quellen f r ein Element mithilfe von Filtern fest Wenn beispielsweise der Filter f r die Beziehung zwischen dem PBX System und dem Identit tsdepot zul sst dass die Telefonnummer eines Mitarbeiters vom PBX System in das Identit tsdepot jedoch nicht vom Identit tsdepot zum PBX System flie t ist das PBX System die autorisierte Quelle f r die Telefonnummer Wenn alle anderen Beziehungen verbundener Systeme zulassen dass die Telefonnummer vom Identit tsdepot zu den verbundenen Systemen flie t jedoch nicht in die umgekehrte Richtung bedeutet dies dass das PBX System die einzige autorisierte Quelle f r Telefonnummern von Mitarbeitern im Unternehmen ist Automatisierte Bereitstellung Automatisierte Bereitstellung bedeutet dass Identity Manager neben der reinen Synchronisierung von Datenelementen auch andere Benutzerbereitstellungsaktionen generieren kann Zum Beispiel wird in einem typischen Identity Manager System bei dem die Personaldatenbank die autorisierte Quelle f r die meisten Mita
62. men bernommen in denen die Telefonnummer gespeichert ist Die Funktionen von Identity Manager gehen ber die Synchronisierung von Identit tsdaten hinaus Identity Manager kann alle Arten von Daten synchronisieren die in der verbundenen Anwendung oder im Identit tsdepot gespeichert sind Die Datensynchronisierung wird einschlie lich der Passwortsynchronisierung durch die f nf Basiskomponenten der Identity Manager L sung erm glicht das Identit tsdepot die Identity Manager Engine die Treiber der Remote Loader und die verbundenen Anwendungen Diese Komponenten sind im folgenden Diagramm abgebildet 30 Identity Manager 4 0 2 bersichtshandbuch Abbildung 4 2 Identity Manager Architekturkomponenten Verwaltete Systeme E E Benutzer Rollen und anwendung amp amp Analyzer CH 6 Benutzer anwendungs treiber Rodenservice Treiber Beglaubigun eg gung Treiber Datener z Verwaltetes fassungs ZS System dienst 2 Designer bn Gateway treiber ZS d Selbstbedienung Event Rollen Geng aw Auditing zum Treiber siralaterk d administrator Service Verwaltetes vom Datener E System fassungs Y Gateway diensttreiber S iManager Auditin 2 g lt a E Berichts Identit ts datenkollektor 5 berichterstellung ee e Ereignis sm arehouse f r eg Berichte gesteuerter Browser die Identit ts Datenkollektor Berichtsinhalt Benutzerschnitistelle berichterstellung Datenko
63. n Hinzuf gens Die ist der Vorgang des k nstlichen Hinzuf gens und er kann sowohl im Herausgeber als auch im Abonnentenkanal vorkommen Die Identity Manager Engine verwendet das Ereignis vom Typ ndern um herauszufinden mit welchem Objekt sie arbeiten soll Sie verwendet dann den Filter f r R ckfragen um alle Attribute abzurufen die f r dieses Objekt verf gbar und im aktuellen Kanal auf Synchronisieren oder Benachrichtigen festgelegt sind Sie entfernt anschlie end das Ereignis vom Typ ndern und erstellt ein Ereignis vom Typ Hinzuf gen das es ersetzt Dieses Ereignis vom Typ Hinzuf gen wird dann durch die bereinstimmungs Erstellungs Platzierungs und Befehlstransformation geleitet im Abonnenten durchl uft es au erdem noch die Schemazuordnung und Ausgabetransformation Die Ereignistransformationsregel wird nicht f r Vorg nge des k nstlichen Hinzuf gens ausgel st Der Grund daf r ist der Standort der Regel vor dem Hinzuf geprozessor 64 Identity Manager 4 0 2 bersichtshandbuch Abbildung 6 4 Verkn pfungsprozessor im Abonnentenkanal Abonnentenverkn pfungsprozessor Zu Ereignis Sequencer zur ckkehren Zu Ereignis Sequencer zur ckkehren Nein mit Ereignisverar beitung fortfahren Nein Zu Ereignis Sequencer zur ckkehren Aktionen in Identity Manager 65 6 13 5 Verarbeitung der Zusammenf hrung Ein Vorgang der Zusammenf hrung wir
64. n Sie bzw ein Entwickler oder Berater den f r die Durchf hrung der gew nschten Aktionen erforderlichen Code erstellen Auftr ge In der Regel werden nderungen an Daten im Identit tsdepot oder in einer verbundenen Anwendung sofort verarbeitet Mithilfe von Auftr gen k nnen Sie Aufgaben planen die an einem bestimmten Datum und zu einer bestimmten Uhrzeit ausgef hrt werden sollen Zum Beispiel wird ein neuer Mitarbeiter eingestellt der jedoch erst im n chsten Monat bei dem Unternehmen anf ngt Der Mitarbeiter muss zur Personaldatenbank hinzugef gt werden er soll jedoch erst ab seinem ersten Arbeitstag Zugriff auf die Ressourcen des Unternehmens Email Server usw erhalten Ohne die Verwendung eines Auftrags w rde der Benutzer den Zugriff sofort erhalten Wenn Auftr ge implementiert sind wird ein Auftrag erstellt der die Kontobereitstellung erst am ersten Arbeitstag des Mitarbeiters initiiert Identity Manager 4 0 2 bersichtshandbuch 4 2 Workflow Rollen Beglaubigung und Selbstbedienung Identity Manager bietet eine spezialisierte Anwendung die Benutzeranwendung die Genehmigungsworkflows Rollenzuweisungen die Beglaubigung und die Identit tsselbstbedienung erm glicht Die Standard Benutzeranwendung ist in Identity Manager enthalten Die Standardversion bietet die Passwortselbstbedienung mit deren Hilfe Benutzer vergessene Passw rter wiedererlangen oder zur cksetzen k nnen Organigramme f r die Verwaltung von Benu
65. n die richtigen Ressourcen Genehmiger einbezogen werden Nehmen Sie beispielsweise an dass Robert f r den bereits ein Active Directory Konto eingerichtet wurde ber Active Directory auf Finanzberichte zugreifen muss Dies muss von Roberts unmittelbarem Vorgesetzten sowie vom Leiter der Finanzabteilung genehmigt werden Hierzu k nnen Sie einen Genehmigungsworkflow einrichten der Roberts Anforderung zun chst an seinen Vorgesetzten und sobald dieser die Genehmigung erteilt hat an den Leiter der Finanzabteilung weiterleitet Wenn der Leiter der Finanzabteilung seine Genehmigung erteilt hat wird die automatische Bereitstellung der von Robert zum Zugriff und zur Ansicht der Finanzdokumente ben tigten Active Directory Rechte veranlasst Automatisierung von Gesch ftsprozessen mit Identity Manager 11 Abbildung 1 6 Genehmigungsworkflow f r die Bereitstellung f r Benutzer Anforderung gew hrt Active Ae Directory Anforderung Anforderung Anforderung ausgegeben genehmigt genehmigt Robert Roberts Manager Workflows k nnen automatisch initiiert werden sobald ein bestimmtes Ereignis eintritt z B wenn ein neuer Benutzer zu Ihrem Personalsystem hinzugef gt wird oder sie k nnen manuell durch eine Benutzeranforderung initiiert werden Sie k nnen sicherstellen dass Genehmigungen rechtzeitig erteilt werden indem Sie Vertretungsgenehmiger und Genehmigungsteams einrichten 1 3 Rollen und Beglaubigung Oft h ngt es von der Funktion eines
66. nager auf Seite 7 vorgestellt wurden Datensynchronisierung Workflow Rollen Beglaubigung Selbstbedienung und Revision Berichterstellung Abbildung 4 1 High Level Architektur von Identity Manager BIR Architekten F 3 g TC Rollen zuordnungs administrator E 3 CA EH CH iManager Berichts datenkollektor Administratoren V a Browser Warehouse f r Ko ie K Berichte die Identit ts f berichterstellung Datenkollektor Beridhtsinhalt H Benutzerschnittstelle Datenkollektor f r nicht verwaltete Anwendungen e Paket REST Endpunkt Integrations API f r nicht verwaltete Anwendung Identity Manager Architektur Die einzelnen Komponenten werden in den folgenden Abschnitten erl utert Abschnitt 4 1 Datensynchronisierung auf Seite 30 Abschnitt 4 2 Workflow Rollen Beglaubigung und Selbstbedienung auf Seite 35 Abschnitt 4 3 Revision und Berichterstellung auf Seite 38 4 1 Datensynchronisierung Die Datensynchronisierung bildet die Grundlage f r die Automatisierung von Gesch ftsprozessen In ihrer einfachsten Form ist die Datensynchronisierung die Weitergabe von Daten von dem Speicherort an dem ein Datenelement ge ndert wird an andere Speicherorte an denen es ben tigt wird Wenn beispielsweise die Telefonnummer eines Mitarbeiters im Personalsystem einer Firma ge ndert wird wird die nderung automatisch in allen anderen Syste
67. nager Role Mapping Administrator 4 0 2 User Guide Benutzerhandbuch zum Novell Identity Manager Rollenzuordnungsadministrator 4 0 1 Erweiterte Werkzeuge Designer ist ein wichtiges Werkzeug das Ihnen umfassende Funktionen zum Entwerfen einer Identity Manager L sung bereitstellt die auf Ihre Anforderungen zugeschnitten ist In Designer 4 x wurden mehrere Funktionen verbessert bzw erweitert Welche nderungen vorgenommen wurden sehen Sie in der Liste unter Neuheiten http www novell com documentation designer401 resources whatsnew index html Weitere Informationen zu den Funktionen und der Verwaltung von Designer finden Sie im Designer 4 0 2 for Identity Manager 4 0 2 Administration Guide Administrationshandbuch zu Designer 4 0 1 f r Identity Manager 4 0 1 Dar ber hinaus verf gt Identity Manager ber ein Werkzeug mit dem sich Daten einfacher analysieren und bereinigen lassen Weitere Informationen hierzu finden Sie im Analyzer 4 0 2 for Identity Manager Administration Guide Administrationshandbuch zu Analyzer 4 0 1 f r Identity Manager Identity Manager 4 0 2 bersichtshandbuch Identity Manager Familie Die Identity Manager Produktfamilie ist in drei Produktgruppen unterteilt die auf die verschiedenen Kundenanforderungen zugeschnitten sind Identity Manager Advanced Edition Identity Manager Standard Edition Compliance Management Plattform Die Identity Manager Advanced Edition enth lt neben den Funktionen der Ident
68. nd k nnte eine Vorlage zur Erstellung eines neuen Objekts angeben F r Objekte die im Identit tsdepot synchronisiert werden kann es obligatorische Attribute im Schema geben die zur Erstellung eines Benutzers erforderlich sind wie zum Beispiel CN und Nachname Verschiedene Objektklassen und Anwendungsf lle k nnen verschiedene Anforderungen haben Die Erstellungsregel kann auch ein Ereignis vom Typ Hinzuf gen verhindern wenn dieses Ereignis nicht den von der Erstellungsregel festgelegten Bedingungen entspricht Wenn beispielsweise die Erstellungsregel besagt dass ein Objekt eine Telefonnummer aufweisen muss dann schl gt das Ereignis vom Typ Hinzuf gen fehl falls keine Telefonnummer angegeben ist Die verworfenen Ereignisse werden erneut verarbeitet sobald die zus tzlichen Attributinformationen im verbundenen System hinzugef gt werden Dies f hrt zu einem Ereignis vom Typ ndern ohne ein verkn pftes Objekt das der Hinzuf geprozessor in einen Vorgang des k nstlichen Hinzuf gens konvertiert Abonnent Die Erstellungsregel im Abonnenten funktioniert genauso wie im Herausgeberkanal wenn festgelegt wird ob ein Ereignis gen gend Informationen zur Erstellung eines Objekts im verbundenen System aufweist Dazu sind Kenntnisse ber das verbundene System und dessen technische oder gesch ftliche Anforderungen erforderlich Die Erstellungsregel wird oft verwendet um die f r das neue Objekt verf gbaren Attribute au
69. ndungsformat Diese Regel wird in der Namespace der Anwendung aktiv Sie k nnte beispielsweise zum Neuformatieren von Daten verwendet werden beispielsweise um eine Telefonnummer im Format 1 815 555 1212 in das Format 1 815 555 1212 zu ndern Die Eingabetransformationsregel wird auch dazu verwendet Aktionen durchzuf hren als Antwort auf die Ergebnisse von Befehlen die an das Schnittstellenmodul gesendet wurden Schemanamen befinden sich immer in der Anwendungs Namespace im XML Dokument das von der Eingabetransformationsrichtlinie verarbeitet wird Es ist auch m glich die Eingabetransformationsregel zu verwenden um ein beliebiges natives XML Format der verbundenen Anwendung in das von Identity Manager erwartete Format zu transformieren Derartige Transformationen m ssen in XSLT geschrieben werden weil das DirXML Skript nur mit dem XML Vokabular arbeitet das f r Identity Manager spezifisch ist Ausgabetransformationsregel Die Ausgabetransformationsrichtlinie betrifft sowohl den Abonnentenkanal als auch den Herausgeberkanal Der Zweck der Ausgabetransformationsrichtlinie besteht darin eine abschlie ende Transformation an allen XML Dokumenten vorzunehmen die von der Identity Manager Engine an das Schnittstellenmodul gesendet und von Identity Manager an das Schnittstellenmodul zur ckgesendet werden Die Ausgabetransformationsrichtlinie wird auf die XML Dokumente angewendet die an SubscriptionShim execute und XmlQueryProcessor query gesend
70. ng bei einer wachsenden Zahl an beh rdlichen Regelungen und gesetzlichen Bestimmungen Es bietet mehr Schutz durch strategische Benutzerbereitstellungen und erf llt somit den wachsenden Sicherheitsbedarf innerhalb der Firewall und in der Cloud Umgebung Das intelligente Identity Framework bietet die M glichkeit Ihre vorhandene Infrastruktur mit neuen Computing Modellen wie SaaS zu kombinieren Abschnitt 2 1 Neue Funktionen von Identity Manager 4 0 2 auf Seite 17 Abschnitt 2 2 Funktionen von Identity Manager 4 0 1 auf Seite 20 Abschnitt 2 3 Funktionen von Identity Manager 4 0 auf Seite 21 Neue Funktionen von Identity Manager 4 0 2 Neue Treiber Bidirektionaler eDirectory Treiber Der bidirektionale eDirectory Treiber von Identity Manager synchronisiert Daten zwischen dem Identit tsdepot und eDirectory Weitere Informationen hierzu finden Sie im Identity Manager 4 0 2 Driver for Bidirectional eDirectory Implementation Guide Implementierungshandbuch f r den Identity Manager 4 0 2 Treiber f r bidirektionales eDirectory Sentinel Identity Tracking Driver Implementation Guide Implementierungshandbuch f r den Sentinel Identity Tracking Treiber Der Sentinel Identity Tracking Treiber Treiber f r Identit ts berwachung erm glicht die Integration mit Identity Manager und Sentinel zum Nachverfolgen von Benutzerkontoinformationen Jedes Benutzerkonto kann mehrere Kontokennungen f r jedes System in der Iden
71. nien werden f r das Ereignis ausgef hrt wie zum Beispiel Ereignisse vom Typ Hinzuf gen L schen oder ndern nicht aber f r die Daten Sie k nnen beispielsweise eine Richtlinie erstellen die verhindert dass der Administrator des verbundenen Systems neue Objekte im Identit tsdepot erstellt oder Sie k nnen Ereignisse vom Typ L schen verarbeiten sodass ein Objekt das im verbundenen System gel scht wird tats chlich nur dazu f hren k nnte dass das verkn pfte Identit tsdepotobjekt ge ndert wird Wenn ein Vorgang vom Typ Hinzuf gen in einen Vorgang vom Typ Zusammenf hren konvertiert wird wird das aktuelle Dokument wie der Vorgang vom Typ K nstliches Hinzuf gen verworfen und der Filter wird dazu verwendet alle Werte sowohl vom verbundenen System als auch vom Identit tsdepot abzufragen Die Einstellung f r jedes Attribut im Filter wird verwendet um zu entscheiden was mit den Daten geschehen soll Optional k nnen die Quellinformationen mit den Informationen vom Ziel berschrieben das Ziel mit der Quelle berschrieben beide Methoden kombiniert und beide mit den Ergebnissen aktualisiert werden oder es kann einfach nichts getan werden Wenn ein Ereignis vom Typ Hinzuf gen einen Verkn pfungswert enth lt wandelt die Identity Manager Engine dieses Ereignis in ein Ereignis vom Typ ndern um Abonnent Die Eingabe an den Abonnentenkanal ist eine Beschreibung eines Ereignis
72. nshandbuch enth lt Informationen zur Konfiguration dieser Funktionen der Benutzeranwendung Konfigurieren von Revision Berichterstellung und Konformit t Der letzte und wichtigste Schritt beim Erstellen einer Identity Manager L sung besteht in der Konfiguration der Revisions Berichterstellungs und Konformit tsfunktionen um sicherstellen zu k nnen dass die L sung Ihre Unternehmensrichtlinien einh lt Ziehen Sie folgende Handb cher f r die Einrichtung und Konfiguration dieser Funktionen zu Rate Revision Identity Manager 4 0 2 Berichterstellungshandbuch f r Novell Sentinel Berichterstellung Handbuch zum Identit tsberichterstellungsmodul und Verwenden von Identity Manager 4 0 2 Berichten Konformit t Weitere Informationen finden Sie unter Using the Compliance Tab Verwenden der Registerkarte Konformit t im Handbuch User Application User Guide Benutzeranwendung Administrationshandbuch Weitere Schritte 73 7 5 Identity Manager verwalten Wenn Ihre Identity Manager L sung vollst ndig ist stehen viele Handb cher zur Verf gung die Ihnen bei der Verwaltung Pflege und nderung Ihrer Identity Manager L sung entsprechend den sich ndernden und wachsenden Gesch ftsanforderungen helfen Die verschiedenen Administrationshandb cher sind auf der Identity Manager 4 0 2 Dokumentations Website http www netig com documentation idm402 index html im Bereich Administration zu finden 74 Identity
73. ntit tsdepot vorhanden ist Wenn im Abonnentenkanal ein neuer Benutzer im Identit tsdepot erstellt wird und Sie m chten dass dies im verbundenen System geschieht ruft die Identity Manager Engine eine Reihe von Richtlinien auf bevor dieser Befehl an den Treiber gesendet wird Diese Richtlinien definieren die Art und Weise wie Objekte erstellt werden und legen fest ob ein entsprechender Benutzer bereits im verbundenen System vorhanden ist Sie treffen Entscheidungen zur Platzierung liefern die Standardwerte f r die erforderlichen Attribute die nicht angegeben wurden und so weiter Dieses Ereignis vom Typ Hinzuf gen wird m glicherweise in ein Ereignis vom Typ ndern transformiert wenn das Objekt im verbundenen System vorhanden ist Attribute die im urspr nglichen Ereignis nicht vorhanden waren k nnten hinzugef gt werden um dem Objekterstellungsmodell des verbundenen Systems zu entsprechen Formatvorlagen definieren XSLT Transformationsregeln Formatvorlagen transformieren Eingabe und Ausgabebefehle in verschiedene Befehle ndern ein Ereignis von einem Typ in einen anderen oder f hren andere beliebige XML Transformationen durch Weitere Informationen hierzu finden Sie im Abschnitt Identity Manager Formatvorlagen Abschnitt 6 13 1 Eingabetransformationsregel auf Seite 63 Abschnitt 6 13 2 Ausgabetransformationsregel auf Seite 63 Abschnitt 6 13 3 Verkn pfungen auf Seite 64 Identity Mana
74. onen die in der aktuellen US Exportausschlussliste enthalten sind oder an in den US Exportgesetzen aufgef hrte terroristische L nder oder L nder die einem Embargo unterliegen zu exportieren oder zu reexportieren Sie stimmen zu keine Lieferungen f r verbotene nukleare oder chemisch biologische Waffen oder Waffen im Zusammenhang mit Flugk rpern zu verwenden Weitere Informationen zum Export von Novell Software finden Sie auf der Website Novell International Trade Services http www novell com company policies trade_services Novell bernimmt keine Verantwortung f r das Nichteinholen notwendiger Exportgenehmigungen Copyright 2008 2012 Novell Inc Alle Rechte vorbehalten Ohne ausdr ckliche schriftliche Genehmigung des Herausgebers darf kein Teil dieser Ver ffentlichung reproduziert fotokopiert bertragen oder in einem Speichersystem verarbeitet werden Novell Inc 1800 South Novell Place Provo UT 84606 U S A www novell com Online Dokumentation Die neueste Online Dokumentation f r dieses und andere Novell Produkte finden Sie auf der Dokumentations Webseite von Novell http www novell com documentation Novell Marken Hinweise zu Novell Marken finden Sie in der Novell Trademark and Service Mark Liste http www novell com company legal trademarks tmlist htm Materialien von Drittanbietern Die Rechte f r alle Marken von Drittanbietern liegen bei den jeweiligen Eigent mern Inhalt Informationen zu die
75. ot bereinstimmt In fast allen F llen sollte dies eine 1 1 bereinstimmung sein sodass man sagen kann dass john doe Mitarbeiter Nummer 1234567 im HR System genau mit dem Benutzerobjekt jdoe13 im Identit tsdepot mit doe john in Active Directory und mit jdoel3 example com im Email System bereinstimmt Die meisten Computersysteme weisen einen internen eindeutigen Bezeichner auf eDirectory und Active Directory verf gen ber einen globalen eindeutigen Bezeichner Globally Unique Identifier GUID Viele HR Systeme verwenden eine Mitarbeiternummer Email Systeme weisen normalerweise einen eindeutigen Wert f r die Email Adresse jeder einzelnen Person auf Identity Manager verwendet diese Bezeichner um eine Verkn pfung zu erstellen Verkn pfungen werden im Identit tsdepot gespeichert Im Abonnentenkanal verwendet die Identity Manager Engine diesen Wert um es dem Schnittstellenmodul zu erm glichen das korrekte Objekt im verbundenen System zu ndern Im Herausgeberkanal stellt das Schnittstellenmodul den Verkn pfungswert bereit und erm glicht es der Identity Manager Engine somit das korrekte Objekt schnell und leicht im Identit tsdepot aufzufinden K nstliches Hinzuf gen Wenn der nderungsvorgang keine Verkn pfung enth lt die bei Ankunft im Hinzuf geprozessor in ein tats chliches Objekt aufgel st wird konvertiert die Identity Manager Engine das Ereignis vom Iyp ndern in einen Vorgang des k nstliche
76. r Workflow Funktionen und Beglaubigung Selbstbedienung ee d NW Datensynchronisierung Revision Berichterstellung In den folgenden Abschnitten werden diese Funktionen von Identity Manager vorgestellt und es wird erl utert wie sie Ihnen dabei helfen k nnen den Identit tsanforderungen Ihrer Organisation gerecht zu werden Abschnitt 1 1 Datensynchronisierung auf Seite 8 Abschnitt 1 2 Workflow auf Seite 11 Abschnitt 1 3 Rollen und Beglaubigung auf Seite 12 Abschnitt 1 4 Selbstbedienung auf Seite 14 Abschnitt 1 5 Revision Berichterstellung und Konformit t auf Seite 15 Datensynchronisierung In den meisten Organisationen sind Identit tsdaten in verschiedenen Systemen gespeichert M glicherweise sind bei Ihnen Identit tsdaten aber nur in einem System gespeichert und Sie ben tigen sie auch in einem anderen System In beiden F llen ist es erforderlich dass Sie Daten schnell zwischen verschiedenen Systemen bertragen und synchronisieren k nnen Mit Identity Manager k nnen Sie Informationen ber eine Vielzahl an Anwendungen Datenbanken Betriebssystemen und Verzeichnissen hinweg synchronisieren transformieren und verteilen z B Daten aus SAP PeopleSoft Salesforce Microsoft SharePoint Lotus Notes Microsoft Exchange Microsoft Active Directory Novell eDirectory Linux und UNIX sowie LDAP Verzeichnissen Identity Manager 4 0 2 bersichtshandbuc
77. r 4 0 1 eingef hrt wurde Der Auftrag kann als Z hlprogramm f r die Lizenznutzung und als Lizenz berwachungswerkzeug eingesetzt werden Mithilfe des Lizenz berwachungswerkzeugs k nnen Identity Manager Kunden mehr Lizenzen hinzuf gen oder nicht verwendete Lizenzen deaktivieren Die Kunden k nnen auch von Vorteilen wie z B der Preisgebung f r inaktive Benutzer profitieren Der Telemetrieauftrag sammelt Informationen zu den installierten Software und Hardwarekomponenten von Identity Manager sowie zur Verwendung der Identity Manager Treiber in der Kundenumgebung Nachdem sich der Kunde beim Novell Customer Center registriert hat werden die Informationen an Novell gesendet Mithilfe der gesammelten Informationen kann Novell dem Kunden eine bessere Unterst tzung bieten Dar ber hinaus wird Identity Manager effektiver und effizienter weiterentwickelt und getestet und es k nnen wichtige Entscheidungen f r zuk nftige Versionen getroffen werden Weitere Informationen finden Sie im Identity Manager 4 0 2 Jobs Guide Handbuch zu Identity Manager 4 0 1 Auftr gen Berichte Folgende Berichte wurden zum Identit tsberichterstellungsmodul hinzugef gt Benutzerstatus nderung im Identit tsdepot Enth lt f r die Identit tsdepotbenutzer signifikante Ereignisse Benutzerpasswort nderung im Identit tsdepot Zeigt alle Benutzerpasswort nderungen im Identit tsdepot an Zugriffsanfragen nach Empf nger Enth lt die Workflow Prozesse
78. r Rollenstatus auf Anstehende L schung festgelegt Der Rollen und Ressourcenservice Treiber bemerkt anschlie end die Status nderung und f hrt die folgenden Schritte aus 1 Entfernt die Ressourcenzuweisungen f r die Rolle 2 L scht die Rolle selbst Weitere Informationen finden Sie unter Deleting Roles L schen von Rollen im User Application User Guide Benutzeranwendung Benutzerhandbuch SAML Unterst tzung f r 64 Bit Plattformen SAML Unterst tzung f r Single Sign On wurde f r 64 Bit Linux und Windows Plattformen hinzugef gt Weitere Informationen finden Sie unter Single Sign On SSO Configuration SSO Konfiguration im User Application Administration Guide Benutzeranwendung Benutzerhandbuch Funktionen f r das Identit tsberichterstellungsmodul Unterst tzung f r EAS unter Red Hat Enterprise Linux Der Event Auditing Service EAS wird nun unter Red Hat Enterprise Linux 5 7 und 6 0 32 Bit und 64 Bit ausgef hrt Neuer Rollenhierarchiebericht Der Rollenhierarchiebericht wurde dem Identit tsberichterstellungsmodul hinzugef gt In diesem Bericht werden die Inhalte der Rollenhierarchie angezeigt sowie die mit den einzelnen Rollen verkn pften Ressourcen Weitere Informationen finden Sie im Abschnitt Role Hierarchy Rollenhierarchie unter Using Identity Manager 4 0 2 Reports Verwenden von Identity Manager 4 0 2 Berichten M glichkeit zum Entfernen historischer Daten aus der Beri
79. r kann dieselben Aufgaben durchf hren wie der Rollenmodul Administrator mit Ausnahme des Verwaltens von Funktionstrennungsbeschr nkungen der Konfiguration des Rollensystems und des Ausf hrens aller Berichte Au erdem bestehen f r den Rollenmodul Administrator keine Bereichsbeschr nkungen innerhalb des Rollensystems w hrend der Bereich des Rollenmanagers auf speziell ausgewiesene Benutzer Gruppen und Rollen beschr nkt ist Identity Manager Architektur 37 Beglaubigung Rollenzuweisungen bestimmen den Zugriff eines Benutzers auf Ressourcen innerhalb Ihrer Organisation Falsche Zuweisungen k nnen die Einhaltung von Unternehmens und beh rdlichen Bestimmungen gef hrden Mit Identity Manager k nnen Sie die Richtigkeit von Rollenzuweisungen durch einen Beglaubigungsprozess validieren Dieser Prozess erm glicht einzelnen Benutzern das berpr fen ihrer eigenen Profilinformationen und Rollenmanagern die Validierung von Rollenzuweisungen und Funktionstrennungsverletzungen 4 3 Revision und Berichterstellung Revision und Berichterstellung stehen ber das Identit tsberichterstellungsmodul eine neue Funktion von Identity Manager 4 0 2 zur Verf gung siehe nachfolgendes Diagramm Abbildung 4 4 Revision und Berichterstellung in Identity Manager Identit tsdepot Anwendung Rollenservioe anwendungs treiber Workflow Rollen und Beglaubigung Q Gateway treiber Architekten Sel
80. ragen zur Sicherstellung der Einhaltung von Gesch fts IT und Firmenrichtlinien Sie k nnen auch benutzerdefinierte Berichte erstellen falls die vordefinierten Berichte f r Ihre Anforderungen nicht geeignet sind 16 Identity Manager 4 0 2 bersichtshandbuch EN Funktionen von Identity Manager 4 0 2 Novell Identity Manager 4 0 2 bietet ein intelligentes Identity Framework das Ihre vorhandenen IT Assets und neue Computing Modelle z B Software As a Service SaaS nutzt und somit Kosteneinsparungen erm glicht sowie die Konformit t zwischen physischen virtuellen und Cloud Umgebungen sicherstellt Mithilfe von Novell Identity Manager L sungen k nnen Sie sicherstellen dass Ihre Organisation ber die aktuellsten Benutzeridentit tsinformationen verf gt Sie behalten die Kontrolle auf Unternehmensebene indem Sie Identit ten innerhalb der Firewall und cloud bergreifend verwalten bereitstellen bzw die Bereitstellung aufheben Identity Manager erm glicht Ihnen auch Clouds in die Konformit tsverwaltung mit einzubeziehen Identity Manager 4 0 2 ist mit umfassenden Funktionen zum Vorkonfigurieren und Anpassen der Identity Manager Treiberrichtlinien ausgestattet Hierzu geh ren das Identit tsmanagement und die Rollenverwaltung sowie Berichterstellungs und Paketverwaltungsfunktionen Sie k nnen dar ber hinaus Sicherheitsrichtlinien auf mehrere Systemdom nen anwenden Identity Manager erm glicht Ihnen die Benutzerverwaltu
81. ration bezeichnet Treiberkonfigurationen werden in einem Satz von Verzeichnisobjekten im Identit tsdepot gespeichert Das DirXML Treiberobjekt enth lt andere Objekte die die Richtlinien und Parameter definieren die mit der Konfiguration verkn pft sind Die Treiberkonfiguration definiert eine Daten Pipeline zwischen einer Anwendung und dem Identit tsdepot Die Treiberkonfiguration definiert was synchronisiert werden kann und wie das eDirectory Schema einem verbundenen Anwendungsschema oder Metadaten zugeordnet werden soll Beispielsweise k nnte der Vorname eines Benutzers in einer HR Anwendung als Rufname bezeichnet werden im Identit tsdepot dagegen als Vorname Im Namespace der Anwendung nennen Sie ihn Rufname im Namespace des Identit tsdepots dagegen Vorname In Identity Manager arbeiten Sie normalerweise mit den Attributnamen in der Namespace des Identit tsdepots Zwischen einem Identit tsdepotobjekt und einem Anwendungsobjekt wird eine Beziehung aufgebaut wenn die beiden Objekte dieselbe Entit t darstellen Diese Beziehung wird als Verkn pfung bezeichnet und im Identit tsdepot im verkn pften Identit tsdepotobjekt gespeichert Die Verkn pfung baut eine Beziehung zwischen dem Identit tsdepotobjekt und dem Objekt im verkn pften System auf Schl sselwerte die einmalig Objekte in verbundenen Systemen erkennen Globale eindeutige Bezeichner GUIDs DNs Prim rschl ssel in Datenbanken etc Jeder Treiber ist
82. rbeiterdaten ist durch das Hinzuf gen eines Mitarbeiters zur Personaldatenbank die automatische Erstellung eines entsprechenden Kontos im Identit tsdepot veranlasst Die Erstellung des Kontos im Identit tsdepot veranlasst wiederum die automatische Erstellung eines Email Kontos f r den Mitarbeiter im Email System Die zur Bereitstellung des Kontos im Email System verwendeten Daten werden aus dem Identit tsdepot abgerufen und k nnen den Namen des Mitarbeiters den Standort die Telefonnummer usw umfassen Die automatische Bereitstellung von Konten Zugriffsrechten und Daten kann auf verschiedene Weisen gesteuert werden Datenelementwerte Die automatische Erstellung eines Kontos in den Zugriffsdatenbanken f r verschiedene Geb ude kann beispielsweise durch einen Wert im Standortattribut eines Mitarbeiters gesteuert werden Genehmigungsworkflows Die Erstellung eines Mitarbeiters in der Finanzabteilung kann beispielsweise eine automatische Email an den Abteilungsleiter mit der Anforderung einer Genehmigung f r ein neues Mitarbeiterkonto im Finanzsystem veranlassen Der Identity Manager Architektur 33 34 Abteilungsleiter wird ber die Email auf eine Webseite geleitet auf der er die Anforderung genehmigen oder ablehnen kann Die Genehmigung kann dann die automatische Erstellung eines Kontos f r den Mitarbeiter im Finanzsystem veranlassen Rollenzuweisungen Ein Mitarbeiter erh lt beispielsweise die Rolle Buchhalter Identi
83. reignisse an die Abonnentenkan le anderer Treiber im System bertragen werden Dadurch k nnen nderungen kaskadiert werden und an alle verbundenen Systeme flie en Schemazuordnungsrichtlinie Die Schemazuordnungsrichtlinie betrifft sowohl den Abonnentenkanal als auch den Herausgeberkanal Der Zweck der Schemazuordnungsrichtlinie besteht darin Schemanamen insbesondere Attributnamen und Klassennamen zwischen der Namespace des Identit tsdepots und der Namespace der Anwendung zuzuordnen Die Schemazuordnungsrichtlinie wird vor der Ausgabetransformationsrichtlinie angewendet wenn Identity Manager ein Dokument an das Schnittstellenmodul bertr gt oder zur cksendet und nach der Eingabetransformationsrichtlinie wenn der Treiber ein Dokument an Identity Manager bertr gt oder zur cksendet Beispielsweise verwendet das HR System Rufname und das Identit tsdepot Vorname wenn sich beide auf dasselbe Attribut beziehen Die Schemazuordnungsrichtlinie verarbeitet die nderung in Namen zwischen der Namespace der Anwendung und der Namespace des Identit tsdepots Die Schemazuordnungsrichtlinie ist bidirektional Sie berlappt beide Kan le Im Herausgeberkanal werden die Anwendungsnamen dem Identit tsdepot zugeordnet Im Abonnentenkanal werden die Identit tsdepotnamen der Anwendung zugeordnet Ereignistransformationsregel Die Ereignistransformationsregel wird auf Ereignisse angewendet die bei einer Kanaleingabe gemeldet werden Der
84. roduktionsumgebung bereitgestellt wenn Sie die Bereitstellung initiieren Dadurch besitzen Sie die Freiheit zu experimentieren die Ergebnisse zu testen und Probleme zu beheben bevor das System in Ihrer Produktionsumgebung eingesetzt wird Dokument Sie k nnen umfangreiche eine Dokumentation generieren die Ihre Systemhierarchie Treiberkonfigurationen Richtlinienkonfigurationen und vieles mehr darstellt Sie erhalten dadurch alle Informationen die zum Verst ndnis der technischen Aspekte Ihres Systems erforderlich sind und die berpr fung der Konformit t mit Ihren gesch ftlichen Regeln und Richtlinien wird vereinfacht Identity Manager 4 0 2 bersichtshandbuch 5 3 5 4 iManager Novell iManager ist ein browserbasiertes Werkzeug das einen einzelnen Administrationspunkt f r viele Novell Produkte einschlie lich Identity Manager zur Verf gung stellt Mithilfe der Identity Manager Plugins f r iManager k nnen Sie Identity Manager verwalten und Echtzeitinformationen zum Zustand und Status Ihres Identity Manager Systems erhalten Abbildung 5 4 Novell iManager Entwicklung Konformit t und Administration Identity Manager Plugins f r iManager Test Produktionsumgebung Rollenzuordnungsadministrator Der Rollenzuordnungsadministrator ist ein Webservice der die Autorisierungen und Berechtigungen ermittelt die innerhalb Ihres Haupt IT Systems erteilt werden k nnen Er erm glicht es Gesch ftsanalysten nicht nur IT Adm
85. rt um zu regulieren was durchkommt und wie es bei Ankunft am Ziel aussieht Beispielsweise k nnen Sie durch Konfigurieren des Treiberfilters einen Attributwert blockieren sodass zum Beispiel eine Telefonnummer vom verbundenen System nicht im Identit tsdepot ankommt und umgekehrt Aktionen in Identity Manager 55 56 6 7 1 6 7 2 Dadurch kann gesteuert werden ob das Identit tsdepot oder das verbundene System die autorisierte Quelle zum Erf llen bestimmter Gesch ftsanforderungen ist Wenn beispielsweise der Filter f r die Beziehung zwischen dem PBX System und dem Identit tsdepot es zul sst dass die Telefonnummer eines Mitarbeiters vom PBX System in das Identit tsdepot jedoch nicht vom Identit tsdepot zum PBX System flie t ist das PBX System die autorisierte Quelle f r die Telefonnummer Wenn alle anderen Beziehungen verbundener Systeme zulassen dass die Telefonnummer vom Identit tsdepot zu den verbundenen Systemen flie t jedoch nicht in die umgekehrte Richtung bedeutet dies dass das PBX System die einzige autorisierte Quelle f r Telefonnummern von Mitarbeitern im Unternehmen ist Der Treiberfilter gibt die Klassen der Objekte und die Attribute dieser Objekte an f r die das Identit tsdepot Ereignisse und Befehle f r beide Kan le verarbeitet Er gibt der Metaverzeichnis Engine Anweisungen zu Ereignissen und Informationen die f r die Konfiguration des Treibers von Interesse sind Auf seiten des Identit tsdepots werden
86. rt Bis zu diesem Punkt hat das Dokument ein Ereignis beschrieben das im Identit tsdepot aufgetreten ist Nun wird dieses Ereignis in einen Befehl transformiert und auf das verbundene System angewendet Regeln Richtlinien und Formatvorlagen In Identity Manager ist eine Regel eine Sammlung von Richtlinien Jede Regel hat Bedingungen die eingehalten werden m ssen sowie Aktionen die ausgef hrt werden m ssen wenn die Bedingungen zutreffen Die Grammatik der Bedingungen sollte f r Menschen gut lesbar sein und Sinn machen Beispielsweise w re eine Bedingung Wenn Objektklasse gleich Benutzer wahr wenn das im aktuellen Dokument beschriebene Objekt ein Benutzerobjekt ist und falsch wenn das Objekt eine Gruppe ist Bedingungen setzen sich aus Bedingungsgruppen zusammen Innerhalb einer Bedingungsgruppe k nnen alle Bedingungen mit UND bzw ODER kombiniert werden und das Ergebnis muss f r die Bedingungsgruppe wahr sein um als wahr evaluiert zu werden andernfalls wird es als falsch evaluiert Mehrere Bedingungsgruppen k nnen ebenfalls mit UND und ODER kombiniert werden Wenn die Bedingungsgruppe n als Wahr evaluiert wurde n dann werden die Aktionen der Regel ausgef hrt Abbildung 6 2 Bedingungen f r den Richtlinien Builder Bedingungen S 7 Bedingungsgruppe 1 7 Wenn Vorgang Gleich add Und y 7 wenn Klassenname Gleich User Oder 7 Bedingungsgruppe 2 7 Wenn Vorgang Gleich add Und 7 Wenn Klass
87. rting Modul W Novelle Identity Reporting Modul Willkommen UserApp berblick ber das Novell Identity Reporting Modul Es gibt 13 Berichtsdefinitionen H Repository Es gibt 16 abgeschlossene Berichte 16 Berichte wurden heute gestartet Ca Importieren Berichtsdefinitionen durchsuchen Ausf hren DI Kalender Er Berichte Zuletzt fertiggestellte Berichte Einstellungen Ressourcenzuweisungen nach Benutzer 12 10 2010 15 16 Ausgef hrt von UserApp Administrator am 12 10 2010 Datenerfassung Ressourcenzuweisung nach Ressource 12 10 2010 15 16 Ausgef hrt von UserApp Administrator am 12 10 2010 Identit tsdepots Identity Vault Driver Associations Report 12 10 2010 15 16 Ausgef hrt von UserApp Administrator am 12 10 2010 Anwendungen Identit tsdepotbenutzer mit Zugriff auf verwaltete Systeme 12 10 2010 15 16 Ausgef hrt von UserApp Administrator am 12 10 2010 7A Auditing Identit tsdepotbenutzer Bericht 12 10 2010 15 16 Ausgef hrt von UserApp Administrator am 12 10 2010 N Herunterladen Geplante Berichte Es sind keine Berichte geplant Konfiguration 1 Identit tsdepot s konfiguriert Es gibt 0 konfigurierte Anwendungen Der Aufbewahrungszeitraum f r erfasste Daten betr gt 5 Tag e Das Berichterstellungsmodul bietet mehrere offene Integrationspunkte Wenn Sie beispielsweise Daten ber Anwendungen von Drittanbietern erfassen m chten die nicht mit Identity Manager verbunden sind k nnen Sie ein
88. rufen um Zugriff auf die Marketing Informationsdatenbank zu erhalten Mit Identity Manager k nnen Sie administrative Aufgaben an die Mitarbeiter delegieren die daf r zust ndig sein sollten Zum Beispiel k nnen Sie einzelnen Benutzern Folgendes erm glichen Das Verwalten ihrer pers nlichen Daten im Unternehmensverzeichnis Statt sich an Sie zu wenden um eine Handynummer ndern zu lassen k nnen die Benutzer diese an einer Stelle ndern und die nderung an alle Systeme weitergeben die Sie ber Identity Manager synchronisiert haben Das ndern ihrer Passw rter das Einrichten eines Tipps f r vergessene Passw rter sowie das Einrichten von Sicherheitsabfragen und antworten f r vergessene Passw rter Statt Sie zu bitten ein vergessenes Passwort zur ckzusetzen k nnen die Benutzer dies selbst tun nachdem sie einen Tipp erhalten oder eine Sicherheitsabfrage beantwortet haben Das Anfordern von Zugriff auf Ressourcen wie Datenbanken Systeme und Verzeichnisse Die Benutzer m ssen sich nicht mehr an Sie wenden um den Zugriff auf eine Anwendung zu erhalten sondern sie k nnen die entsprechende Anwendung aus einer Liste von verf gbaren Ressourcen ausw hlen Zus tzlich zur Selbstbedienung f r einzelne Benutzer bietet Identity Manager eine Selbstbedienungsverwaltung f r Funktionen Verwaltung Helpdesk usw an die f r die Unterst tzung die berwachung und die Genehmigung von Benutzeranforderungen verantwortlich
89. s Identit tsdepot alle Objekte in den Container Daten Benutzer jdoe Abonnent Im Abonnentenkanal funktioniert die Platzierungsregel genauso wie im Herausgeberkanal Platzierungen in verbundenen Systemen k nnen einfach oder komplex sein Eine einfache Platzierungsregel platziert alle Objekte am selben Standort F r Platzierungen im verbundenen System sind detaillierte Kenntnisse dar ber erforderlich wie das verbundene System funktioniert Ein einfaches Beispiel f r eine Platzierung n mlich Lotus Notes in der Standardkonfiguration platziert alle Objekte im Container CN jdoe O novell Ein komplexeres Beispiel k nnte ein HR Standortcode Attribut verwenden um festzulegen wo ein Objekt platziert wird Sie k nnen eine Zuordnungstabelle verwenden um leichter eine Beziehung zwischen einem Standort zur Platzierung und einem Attributwert aufbauen zu k nnen Befehlstransformationsregel Die Befehlstransformationsregel wird auf Befehle angewendet die auf eine Kanalausgabe ausgegeben werden sollen Der Abonnentenkanal und der Herausgeberkanal haben normalerweise verschiedene Ereignistransformationsregeln Der Zweck der Befehlstransformationsregel besteht darin die endg ltige Verarbeitung von Befehlen vorzunehmen bevor die Befehle an das Identit tsdepot oder das verbundene System gesendet werden Einige m gliche Anwendungen f r die Befehlstransformationsregel ndern des Befehlstyps ein Befehl zum L schen eines Objekts kann beisp
90. s Gesch ftsbenutzer bei der Standard Edition von Identity Manager anmelden wird in der Benutzeranwendung nur die Registerkarte Identit tsselbstbedienung angezeigt Wenn Sie sich als Benutzeranwendungsadministrator anmelden steht zudem die Registerkarte Administration zur Verf gung Rollen und Ressourcen werden nicht unterst tzt Die Verwendung von Rollen und Ressourcen ist nur in der Advanced Edition m glich In der Standard Edition ist die Registerkarte Rollen und Ressourcen nicht verf gbar Die Registerkarte Konformit t wird nicht unterst tzt Die Registerkarte Konformit t steht nur in Identity Manager 4 0 2 Advanced Edition zur Verf gung In der Standard Edition ist die Registerkarte Konformit t nicht verf gbar Das Arbeits Dashboard ist nicht verf gbar In der Standard Edition steht die Registerkarte Arbeits Dashboard nicht zur Verf gung Benutzerdefinierte Rollen werden nicht unterst tzt Die Definition von benutzerdefinierten Rollen ist nicht m glich Die Standard Edition unterst tzt nur die Verwendung von Systemrollen Workflows werden nicht unterst tzt Das Initiieren von Genehmigungs Workflows ist nicht m glich REST APIs Die REST APls die sich auf Rollen Ressourcen und Workflows beziehen sind nicht f r die Verwendung mit Identity Manager Standard Edition lizenziert Die REST APIs f r Passwortselbstbedienung sind f r die Verwendung mit der Standard Edition lizenziert Vereinfachtes Sicherheitsmodell
91. s dem urspr nglichen Ereignis zu pr fen und verhindert die Erstellung des neuen Objekts falls ein oder mehrere Attribute fehlen Das h ufigste Beispiel dazu im Abonnentenkanal ist die Passwortanforderung Normalerweise wird ein Benutzer im Identit tsdepot in zwei Stufen erstellt zun chst als Benutzerobjekt woraufhin in einem zweiten Vorgang ein Passwort festgelegt wird Es kommt h ufig vor dass ein Objekt erstellt wird doch die Erstellungsregel fehlschl gt weil das Passwort fehlt das ein erforderliches Attribut zur Erstellung eines neuen Benutzerobjekts ist Wenn dann das Passwortereignis kurz darauf durchgef hrt wird kann das neue Objekt erfolgreich hinzugef gt werden Platzierungsregel Abschnitt 6 11 1 Herausgeber auf Seite 60 Abschnitt 6 11 2 Abonnent auf Seite 60 Aktionen in Identity Manager 59 6 11 1 6 11 2 6 12 6 12 1 Herausgeber Wenn die bereinstimmungsregel keine bereinstimmenden Objekte findet und die Erstellungsregel best tigt dass das Ereignis die Mindestanforderungen erf llt gibt die Platzierungsregel an welches Objekt erstellt und wo es platziert wird F r den Herausgeberkanal wird das Objekt im Identit tsdepot platziert und es hat einen eindeutigen Namen oder eine eindeutige ID um es zu benennen und einen Container in den es gestellt wird Da die Platzierungsregeln den Standort festlegen bestimmen sie auch den eindeutigen Namen der Objekte Beispielsweise platziert da
92. s er das Ausl sen von Workflows durch Ereignisse zul sst und dass er der Benutzeranwendung den Erfolg oder das Fehlschlagen der Bereitstellungsaktivit t eines Workflows meldet sodass Benutzer den endg ltigen Status ihrer Anforderungen sehen k nnen Rollen und Ressourcenservice Treiber Der Rollen und Ressourcenservice Treiber verwaltet alle Rollen und Ressourcenzuweisungen startet Workflows f r Rollen und Ressourcenzuweisungsanforderungen die eine Genehmigung erfordern und verwaltet indirekte Rollenzuweisungen nach Gruppen und Containermitgliedschaften Der Treiber erteilt und entzieht Berechtigungen f r Benutzer basierend auf ihren Rollenmitgliedschaften und f hrt Bereinigungsprozeduren f r abgeschlossene Anforderungen durch Wichtige Konzepte Workflow basierte Bereitstellung Die Workflow basierte Bereitstellung bietet den Benutzern die M glichkeit Zugriff auf Ressourcen anzufordern Eine Bereitstellungsanforderung wird durch einen vordefinierten Workflow weitergeleitet der m glicherweise die Genehmigung durch eine oder mehrere Personen beinhaltet Wenn alle Genehmigungen erteilt wurden erh lt der Benutzer Zugriff auf die Ressource Bereitstellungsanforderungen k nnen auch indirekt als Reaktion auf Ereignisse im Identit tsdepot initiiert werden Zum Beispiel kann durch das Hinzuf gen eines Benutzers zu einer Gruppe eine Anforderung f r die Erteilung des Zugriffs auf eine bestimmte Ressource f r den Benutzer initiiert wer
93. schiebung eines Objekts in der Objekthierarchie L schung eines Objekts Befehle sind die Ausgabe eines Treiberkanals Wenn das Schnittstellenmodul eine Ereignisbenachrichtigung an Identity Manager sendet informiert es Identity Manager ber eine nderung an den Daten die in der Anwendung vorgenommen wurde Identity Manager legt dann basierend auf den konfigurierbaren Befehlen fest welche Befehle gegebenenfalls an das Aktionen in Identity Manager 53 54 6 5 Identit tsdepot gesendet werden m ssen Wenn Identity Manager einen Befehl an das Schnittstellenmodul sendet hat Identity Manager bereits ein Identit tsdepot Ereignis als Eingabe verarbeitet die entsprechenden Richtlinien angewendet und festgelegt dass die durch den Befehl dargestellte nderung in der Anwendung erforderlich ist Ein Ereignis aus dem Identit tsdepot wird ber den Abonnentenkanal gesendet und schlie lich in einen Befehl umgewandelt der an das Treiberschnittstellenmodul bermittelt wird wo es einige nderungen im verbundenen System verursachen soll Ein Ereignis aus der Anwendung wird ber den Herausgeberkanal gesendet und schlie lich in einen Befehl umgewandelt der an das Identit tsdepot bermittelt wird wo es die in der Anwendung vorgenommene nderung synchronisieren soll Wenn aus Sicht des Gesamtsystems ein Befehl von einem Treiber in dessen Herausgeberkanal ein Objekt im Identit tsdepot erstellt oder aktualisiert k nnte dies verursachen dass E
94. sem Handbuch 5 1 Automatisierung von Gesch ftsprozessen mit Identity Manager 7 1 1 Datensynchronisierung 8 1 2 Workflow ei e dee ir Er EEN EE ee EE 11 1 3 Rollen und Beglaubigung 2H222eH seen rennen rennen rennen 12 1 4 Selbstbedienung 8 Nike rer Du EI er e 14 1 5 Revision Berichterstellung und Konformit t 2222e2H seen een een nenn 15 2 Funktionen von Identity Manager 4 0 2 17 2 1 Neue Funktionen von Identity Manager 4 072 17 2 2 Funktionen von Identity Manager 4 0 1 222nH seen een ernennen rennen een 20 2 3 Funktionen von Identity Manager 40 21 3 Identity Manager Familie 23 3 1 Identity Manager Advanced don 24 3 2 Identity Manager Standard Edition rennen een 24 3 3 Compliance Management Plattform nennen een nenn 26 3 4 Aktivieren der Standard und Advanced Edition von Identity Manager 27 4 Identity Manager Architektur 29 4 1 Datensynchronisierung 30 4 1 1 Komponenten 2 4 24 24 2 ee a na Alain 31 4 1 2 Wichtige Konzepter is oi ioi eai a en kn EEN E nen an nn nn bier 32 4 2 Workflow Rollen Beglaubigung und Selbstbedienung 2 222 222 nennen nen 35 4 2 1 Komponenten a regiei Se ee a A reg E eebe E a 36 4 2 2 Wichtige Konzepte scii rione eiie Saas Bes Ra ANE EEN AE 37 4 3 Revision und Berichterstellung ernennen een en 38 5 Identity Manager Werkzeuge 41 5 17 Analyzer ass rin RER RP en al 42 5 2 DEsigneti myrs Ai a a EE 43 53 Manager 2 22 a re
95. ses das vom Identit tsdepot kommt In vielen F llen k nnte der Filter dazu verwendet werden die gew nschten Objekttypen sowie die Attribute dieser Objekte festzulegen doch die Ereignistransformationsrichtlinie kann dazu verwendet werden die Ereignisse weiter anzupassen Dies wird manchmal als Bereichsfilterung bezeichnet und erm glicht eine viel feinere Steuerung der Daten Sie k nnen beispielsweise Filter zur Angabe von Benutzerobjekten verwenden Er nimmt an dass Sie alle Benutzer synchronisieren m chten Wenn ein verbundenes System auf eine Teilmenge aller Benutzer beschr nkt ist dann wird die Ereignistransformation verwendet um zu entscheiden ob ein Ereignis f r ein Objekt im Bereich liegt oder nicht Wenn beispielsweise in Ihrem verbundenen System nur Benutzer mit einem Abteilungsattribut Vertrieb vorhanden sein sollen dann k nnen Sie eine Regel in der Ereignistransformationsrichtlinie erstellen die alle Ereignisse f r Benutzer blockiert die nicht das Abteilungsattribut Vertrieb enthalten Filter Der Filter steuert den Datenfluss zwischen dem Identit tsdepot und dem verbundenen System Der Filter spielt in einer Identity Manager Treiberkonfiguration verschiedene Rollen Abbildung 6 1 zeigt den Filter an vier Stellen die die meisten seiner Rollen darstellen doch es gibt eigentlich nur einen Filter f r den Treiber W hrend die Kan le den Datenfluss zulassen werden Richtlinien und Filter in den Kan len platzie
96. sind Betrachten Sie beispielsweise das unter Abschnitt 1 2 Workflow auf Seite 11 verwendete und nachfolgend dargestellte Szenario Identity Manager 4 0 2 bersichtshandbuch 1 5 Abbildung 1 8 Bereitstellungs Workflow mit Selbstbedienung Anforderung gew hrt Active Ae Directory Anforderung Anforderung Anforderung ausgegeben genehmigt genehmigt Robert Roberts CFO Manager Die Selbstbedienungsfunktion von Identity Manager wird nicht nur von Robert dazu verwendet Zugriff auf die ben tigten Dokumente anzufordern sondern auch sein Vorgesetzter und der Leiter der Finanzabteilung verwenden sie f r die Genehmigung der Anforderung Der eingerichtete Genehmigungsworkflow erm glicht Robert seine Anforderung zu initiieren und ihren Fortschritt zu berwachen und Roberts Vorgesetztem und dem Leiter der Finanzabteilung auf seine Anforderung zu antworten Wenn die Anforderung von Roberts Vorgesetztem und dem Leiter der Finanzabteilung genehmigt wird veranlasst dies die Bereitstellung der von Robert zum Zugriff und zur Ansicht der Finanzdokumente ben tigten Active Directory Rechte Revision Berichterstellung und Konformit t Ohne Identity Manager kann die Bereitstellung f r Benutzer ein m hsamer zeitaufw ndiger und kostenintensiver Vorgang sein Einen noch bedeutend gr eren Aufwand bringt es allerdings mit sich zu berpr fen ob die Bereitstellungsaktivit ten gem den Richtlinien Anforderungen und Bestimmungen Ihrer
97. tity Manager L sung besitzen Der Treiber verfolgt jede Kontokennung und sendet diese Informationen an Sentinel Sentinel kann Berichte ausf hren um einzelne Kontokennungen einem bestimmten Benutzer zuzuordnen Weitere Informationen finden Sie im Driver for Sentinel Implementation Guide Implementierungshandbuch f r den Treiber f r Sentinel Funktionen von Identity Manager 4 0 2 17 18 Funktionen f r die Passwortverwaltung Verbesserungen der Passwortrichtlinie Identity Manager unterst tzt nun drei neue Syntaxoptionen f r die Passwortrichtlinie Verwendung der Microsoft Passwortkomplexit tsrichtlinie Verwendung der Passwortrichtlinie von Microsoft Server 2008 Verwendung der Novell Syntax Weitere Informationen finden Sie unter Supported Password Policy Syntax Unterst tzte Syntax f r die Passwortrichtlinie im Identity Manager 4 0 2 Password Management Guide Handbuch zur Identity Manager 4 0 2 Passwortverwaltung Funktionen f r den Rollenzuordnungsadministrator Synchronisierung der Codezuordnung Identity Manager 4 0 2 bietet Funktionen zur Synchronisierung der Codezuordnungstabellen zwischen dem Rollenzuordnungsadministrator und dem rollenbasierten Bereitstellungsmodul Bei der Erstellung von Zuordnungen im Rollenzuordnungsadministrator k nnen Sie eine Aktualisierung der Codezuordnung entweder im Rollenzordnungsadministrator oder im rollenbasierten Bereitstellungsmodul ausl sen falls die Codezuordn
98. tration Guide Adminstrationshandbuch f r Designer 4 0 2 for Identity Manager 4 0 2 Analyzer Funktionen Leistungsverbesserungen in Analyzer Analyzer 4 0 2 bietet eine bessere Leistung durch Verwendung der Batching Funktion beim MySQL Datenbankserver Analyzer kann jetzt eine Million Datens tze auf einmal in die Analyzer Datenbank importieren Weitere Informationen finden Sie unter Database Settings Datenbankeinstellungen im Analyzer 4 0 2 for Identity Manager Administration Guide Administrationshandbuch zu Analyzer 4 0 2 f r Identity Manager 2 2 Funktionen von Identity Manager 4 0 1 Aktivit t Ressourcenanforderung Die Aktivit t Ressourcenanforderung erm glicht Ihnen das Zuweisen bzw Entziehen von Ressourcen zu automatisieren Beispielsweise k nnen Sie eine Bereitstellungsanforderungsdefinition schreiben die einem neuen Mitarbeiter an seinem ersten Arbeitstag alle ben tigten Ressourcen bereitstellt Mithilfe der Aktivit t Ressourcenanforderung k nnen Sie die Genehmigung von bestimmten Ressourcen f r diesen Identity Manager 4 0 2 bersichtshandbuch Mitarbeiter automatisieren Ausf hrliche Informationen zur Aktivit t Ressourcenanforderung finden Sie unter Resource Request Activity Aktivit t Ressourcenanforderung im User Application Design Guide Designhandbuch zur Benutzeranwendung Telemetrie Identity Manager Telemetry ist ein neuer Auftrag der in Identity Manage
99. ty Manager stellt f r den Mitarbeiter alle Konten Zugriffsrechte und Daten bereit die der Rolle Buchhalter zugewiesen sind Dies erfolgt ber Systemworkflows ohne menschliches Eingreifen von Mitarbeitern durchgef hrte Genehmigungsabl ufe oder eine Kombination aus beidem Berechtigungen Eine Berechtigung repr sentiert eine Ressource in einem verbundenen System beispielsweise ein Konto oder eine Gruppenmitgliedschaft Wenn ein Benutzer die Kriterien erf llt die f r eine Berechtigung in einem verbundenen System festgelegt wurden verarbeitet Identity Manager ein Ereignis f r den Benutzer mit dem Ergebnis dass dem Benutzer Zugriff auf die Ressource gew hrt wird Dies erfordert nat rlich dass alle Richtlinien wirksam sind damit der Zugriff auf die Ressource m glich ist Wenn zum Beispiel ein Benutzer die Kriterien f r ein Exchange Konto in Active Directory erf llt verarbeitet die Identity Manager Engine den Benutzer mithilfe der Active Directory Treiberrichtlinien die ein Exchange Konto bereitstellen Der Hauptnutzen von Berechtigungen besteht darin dass Sie die Gesch ftslogik f r den Zugriff auf eine Ressource in einer Berechtigung statt in mehreren Treiberrichtlinien definieren k nnen Zum Beispiel k nnen Sie eine Kontoberechtigung definieren die einem Benutzer in vier verbundenen Systemen ein Konto zur Verf gung stellt Die Entscheidung ob f r den Benutzer ein Konto bereitgestellt werden soll wird durch die Berecht
100. tzerverzeichnisinformationen Benutzerverwaltungsfunktionen die das Erstellen von Benutzern im Identit tsdepot erm glichen sowie Grundfunktionen der Identit tsselbstbedienung wie das Verwalten von Benutzerprofilinformationen Das rollenbasierte Bereitstellungsmodul der Benutzeranwendung ist eine Komponente von Identity Manager 4 0 2 Advanced Edition Mit dem rollenbasierten Bereitstellungsmodul stehen Ihnen neben den Funktionen der Standard Benutzeranwendung die erweiterte Selbstbedienung der Genehmigungsworkflow die rollenbasierte Bereitstellung Funktionstrennungsbeschr nkungen und die Beglaubigung zur Verf gung Identity Manager 4 0 2 Advanced Edition umfasst die Standardfunktionen und die Funktionen des rollenbasierten Bereitstellungsmoduls Identity Manager Architektur 35 4 2 1 36 Abbildung 4 3 Identity Manager Benutzeranwendung Verwaitete Systeme er O Po r D zg Loader 1 Identit tsdepot AD Anwendun anwendungs treiber Rollenservice Treiber A ECH Ke Ba Benutzer Rollen und anwendung D un Beglaubigung Treiber z Verw alt etes Syster SI Designer Gateway treiber 5 Selbstbedienung Event Roller Auditing zum Treiber zuoranungs Service Verwaltetes vom Datener administrator System fassungs Gateway diensttreiber S iManager Auditing S kd L i Z Berichts E gentit ts datenkollekte 5 berichterstetung d E x Warehouse f r Bericht
101. uchhaltungsressourcen gesperrt wird Karl Jonas Ihr eigener Chef hat eine Kopie von Ida Mosers Bitte um Zugriff auf die Oracle Finanzdatenbank erhalten und berlegt ob nicht zu viele Mitarbeiter Zugriff darauf besitzen Sie m ssen f r ihn einen Bericht erstellen in dem alle Mitarbeiter mit Zugriff auf die Datenbank aufgef hrt sind Sie atmen tief durch und beginnen mit der ersten Anforderung wobei Ihnen bewusst ist dass es schwierig wird allen Anforderungen rechtzeitig nachzukommen und dass Sie daneben kaum Zeit finden werden Ihre anderen Projekte fertigzustellen Wenn dies f r Sie oder Kollegen in Ihrem Unternehmen nach einem ganz normalen Arbeitstag klingt ist Identity Manager die richtige L sung f r Sie Die Kernfunktionen von Identity Manager die auf der folgenden Abbildung vorgestellt werden k nnen Ihnen helfen all diese Aufgaben und noch weitere zu automatisieren Die Komponenten Workflows Rollen Beglaubigung Selbstbedienung Revision und Berichterstellung verwenden die durch Ihre Gesch ftsrichtlinien gesteuerte Datensynchronisierung zwischen mehreren Systemen um die Prozesse zu automatisieren die f r die Bereitstellung f r Benutzer und die Passwortverwaltung erforderlich sind zwei der schwierigsten und zeitintensivsten Aufgaben einer II Organisation Automatisierung von Gesch ftsprozessen mit Identity Manager 7 8 1 1 Abbildung 1 1 Kernfunktionen von Identity Manage
102. ungen an die entsprechenden Genehmiger weitergeleitet werden Sie k nnen Benutzer auch manuell zu Rollen hinzuf gen Es kann vorkommen dass bestimmte Rollen nicht derselben Person zugewiesen werden d rfen da die Rollen im Widerspruch zueinander stehen Identity Manager bietet die M glichkeit zur Funktionstrennung mit deren Hilfe Sie verhindern k nnen dass Benutzern widerspr chliche Rollen zugewiesen werden sofern nicht ein Mitarbeiter Ihrer Organisation eine Ausnahme f r den Konflikt macht Da Rollenzuweisungen den Zugriff der Benutzer auf die Ressourcen Ihrer Organisation festlegen ist es u erst wichtig die Korrektheit der Zuweisungen sicherzustellen Falsche Zuweisungen k nnen die Einhaltung von Unternehmens und beh rdlichen Bestimmungen gef hrden Mit Identity Manager k nnen Sie die Richtigkeit der Rollenzuweisungen durch einen Beglaubigungsprozess validieren Mithilfe dieses Prozesses zertifizieren die verantwortlichen Mitarbeiter innerhalb Ihrer Organisation die den Rollen zugewiesenen Daten Benutzerprofilbeglaubigung Ausgew hlte Benutzer best tigen ihre eigenen Profilinformationen Vorname Nachname Stellenbezeichnung Abteilung Email Adresse usw und korrigieren falsche Angaben Die Richtigkeit der Profilinformationen ist f r korrekte Rollenzuweisungen ausschlaggebend Funktionstrennungsverletzungsbeglaubigung Verantwortliche Mitarbeiter pr fen einen Funktionstrennungsverletzungsbericht und best tigen die R
103. ungen nicht bereinstimmen Eine Aktualisierung der Rollenzuordnungen kann sehr lange dauern wenn sie f r alle Treiber und Berechtigungen ausgef hrt wird Daher haben Sie mit dem Rollenzuordnungsadministrator die M glichkeit eine Aktualisierung nur f r die Berechtigungen auszul sen die nicht bereinstimmen Das rollenbasierte Bereitstellungsmodul stellt auch neue SOAP Endpunkte zum Ausl sen von Aktualisierungen der Rollenzuordnungen zur Verf gung Weitere Informationen ber die nderungen beim Rollenzuordnungsadministrator finden Sie unter Creating Role Resource Mappings Erstellen von Rollenressourcenzuordnungen im Novell Identity Manager Role Mapping Administrator 4 0 2 User Guide Benutzerhandbuch f r den Rollenzuordnungsadministrator in Novell Identity Manager 4 0 2 Weitere Informationen ber die neuen SOAP Endpunkte finden Sie unter Resource Web Service Ressourcenwebdienst im User Application Administration Guide Benutzeranwendung Administrationshandbuch Einstellungen zur Ressourcenerstellung f r den Rollenzuordnungsadministrator Der Rollenzuordnungsadministrator stellt nun verschiedene Einstellungen f r die Ressourcenerstellung bereit mit denen Sie dem Treibernamen und dem Namen des logischen Systems beim Erstellen von Ressourcen ein Pr fix hinzuf gen k nnen Die Einstellungen zur Ressourcenerstellung erm glichen es Ihnen auch eine Ressourcenkategorie f r automatisch erstellte Ressourcen auszuw hlen
104. ungsprozessor des Abonnenten Herausge berbefehl Xform Zu Ereignis Sequencer zur ckkehren Nein Ja Ja Nein Ja Bandintern z Bandintern Zusammenf hrungsprozessor f r Abonnent Bandextern Aktionen in Identity Manager 69 70 Identity Manager 4 0 2 bersichtshandbuch 7 1 7 2 1 3 Weitere Schritte Wenn Sie die Komponenten verstanden haben aus denen Identity Manager 4 0 2 besteht verwenden Sie im n chsten Schritt die Dokumentation um Ihre eigene Identity Manager L sung zu erstellen In den folgenden Abschnitten wird erl utert wo die Dokumentation f r die aufgef hrten Aufgaben zu finden ist Abschnitt 7 1 Planen einer Identity Manager L sung auf Seite 71 Abschnitt 7 2 Vorbereiten der Daten f r die Synchronisierung auf Seite 71 Abschnitt 7 3 Installation oder Aufr stung von Identity Manager auf Seite 71 Abschnitt 7 4 Konfigurieren von Identity Manager auf Seite 72 Abschnitt 7 5 Identity Manager verwalten auf Seite 74 Planen einer Identity Manager L sung Der erste Schritt beim Entwerfen einer Identity Manager L sung besteht darin zu entscheiden was genau die Aufgabe der L sung in Ihrem Unternehmen sein soll Lesen Sie den Abschnitt Planning Planung im Identity Manager 4 0 2 Framework Installation Guide Installationshandbuch zu Identity Manager 4 0 1 Framework um einen Plan f r Ihre Identity Manager L sung mithilfe von Designer zu entwerf
105. wendet werden Abschnitt 6 1 Identit tsdepot auf Seite 50 Abschnitt 6 2 Schnittstellenmodul auf Seite 52 Abschnitt 6 3 Kan le auf Seite 53 Abschnitt 6 4 Ereignisse und Befehle auf Seite 53 Abschnitt 6 5 Schemazuordnungsrichtlinie auf Seite 54 Abschnitt 6 6 Ereignistransformationsregel auf Seite 54 Abschnitt 6 7 Filter auf Seite 55 Abschnitt 6 8 Hinzuf geprozessor auf Seite 57 Abschnitt 6 9 bereinstimmungsregel auf Seite 58 Abschnitt 6 10 Erstellungsregel auf Seite 59 Abschnitt 6 11 Platzierungsregel auf Seite 59 Abschnitt 6 12 Befehlstransformationsregel auf Seite 60 Abschnitt 6 13 Regeln Richtlinien und Formatvorlagen auf Seite 61 Aktionen in Identity Manager 49 50 6 1 Identit tsdepot Das Identit tsdepot ist ein Repository von Identit tsinformationen Es wird auch als Novell eDirectory Baum bezeichnet Im Identit tsdepot werden Identity Manager spezifische Informationen gespeichert z B Treiberkonfigurationen Parameter und Richtlinien Das Identit tsdepot kann im engeren Sinn als privater Datenspeicher f r Identity Manager gesehen werden im weiteren Sinn als Metaverzeichnis mit Unternehmensdaten die auf verschiedenen Anwendungen synchronisiert werden sollen einschlie lich verschiedenen Verzeichnissen Datenbanken Telefonsystemen Betriebssystemen und HR Systemen Das Identit tsdepot verf gt ber
106. werden Ein Standard Richtliniensatz ist in der Treiberkonfiguration verf gbar Andere Richtlinien sind m glicherweise lokale Anpassungen des Treibers Sie k nnen Richtlinien mit dem DirXML Skript XSLT oder dem ECMA Skript schreiben Der Zweck einer Richtlinie besteht darin nderungen am Eingabedokument vorzunehmen und ein Ausgabedokument zu erzeugen Die meisten Richtlinien werden entweder im Abonnentenkanal evaluiert oder im Herausgeberkanal Die Schemazuordnungsrichtlinie die Eingabetransformationsrichtlinie und die Ausgabetransformationsrichtlinie werden in beiden Kan len evaluiert Beispielsweise verwendet ein Unternehmen inetOrgPerson als Hauptbenutzerklasse w hrend in einem anderen Unternehmen Benutzer verwendet wird Eine Richtlinie kann implementiert werden um die nderung an der Telefonnummer f r eine inetOrgPerson im ersten Unternehmen hinzuzuf gen Ein andere Regel kann implementiert werden durch die die Richtlinie f r die Benutzerklasse angewendet werden kann Richtlinien nehmen Schematranformationen vor geben bereinstimmungskriterien an die festlegen ob ein Objekt bereits im verbundenen System oder Identit tsdepot vorhanden ist und f hren viele andere Aufgaben aus Daher k nnte ein Ereignis vom Typ Hinzuf gen das vom verbundenen System gemeldet wurde als ein nderungsvorgang im Identit tsdepot enden falls eine bereinstimmungsrichtlinie festlegt dass das von Ihnen hinzugef gte Objekt bereits im Ide
107. y Manager Role Mapping Administrator 4 0 2 User Guide Benutzerhandbuch zum Novell Identity Manager Rollenzuordnungsadministrator 4 0 2 Konfiguration der Benutzeranwendung Im n chsten Schritt f gen Sie mit der Benutzeranwendung eine Gesch ftsperspektive zur Identity Manager L sung hinzu Mit der Benutzeranwendung k nnen Sie folgende Gesch ftsanforderungen erf llen Anbieten einer praktischen M glichkeit rollenbasierte Bereitstellungsaktionen durchzuf hren Sicherstellen dass Ihr Unternehmen ber eine Methode verf gt mit der es verifizieren kann dass die Mitarbeiter die Unternehmensrichtlinien kennen und die erforderlichen Schritte unternehmen um diese Richtlinien einzuhalten Bereitstellen von Selbstbedienungsfunktionen mit denen ein neuer Benutzer sich selbst registrieren kann und Gew hren von Zugriff f r anonyme oder Gastbenutzer Sicherstellen dass der Zugriff auf Unternehmensressourcen die organisatorischen Richtlinien erf llt und dass die Bereitstellung im Kontext der Sicherheitsrichtlinie des Unternehmens erfolgt Reduzierung des Verwaltungsaufwands f r das Eingeben Aktualisieren und L schen von Benutzerinformationen ber alle Systeme des Unternehmens hinweg Verwalten der manuellen und automatisierten Bereitstellung von Identit ten Diensten Ressourcen und Assets Unterst tzung komplexer Workflows Das Handbuch User Application Administration Guide Benutzeranwendung Administratio
108. zur Compliance Management Plattform http www novell com documentation nemp10 Identity Manager 4 0 2 bersichtshandbuch 3 4 Aktivieren der Standard und Advanced Edition von Identity Manager Identity Manager Advanced Edition und Standard Edition m ssen innerhalb von 90 Tagen nach der Installation aktiviert werden anderenfalls wird ihre Funktion eingestellt Die ISO Imagedateien f r Identity Manager Advanced Edition und Standard Edition funktionieren bis zu 90 Tage Sie k nnen Identity Manager Produkte zu einem beliebigen Zeitpunkt w hrend oder nach Ablauf der 90 Tage aktivieren Weitere Informationen hierzu finden Sie unter Aktivieren von Novell Identity Manager Produkten im Identity Manager 4 0 2 Framework Installationshandbuch Wenn die Aktivierung der Standard Edition auf ein vorhandenes nicht aktiviertes Advanced Edition System angewendet wird funktionieren der Metaverzeichnis Server und die Treiber nicht mehr Hinweis Wenn Sie sowohl Identity Manager Advanced Edition als auch Identity Manager Standard Edition verwenden stellen Sie sicher dass Sie die korrekte Aktivierung auf dem entsprechenden Server durchf hren Identity Manager Familie 27 28 Identity Manager 4 0 2 bersichtshandbuch Identity Manager Architektur Das folgende Diagramm zeigt die High Level Architekturkomponenten f r die Novell Identity Manager Funktionen die unter Kapitel 1 Automatisierung von Gesch ftsprozessen mit Identity Ma
Download Pdf Manuals
Related Search