Leitfaden zu Microsoft BHOLD Suite-Konzepten

Mit Microsoft Identity Manager 2016 (MIM) können Organisationen den gesamten Lebenszyklus von Benutzeridentitäten und den zugehörigen Anmeldeinformationen verwalten. Sie kann so konfiguriert werden, dass Identitäten synchronisiert, Zertifikate und Kennwörter zentral verwaltet und Benutzer über heterogene Systeme hinweg bereitgestellt werden. Mit MIM können IT-Organisationen die Prozesse definieren und automatisieren, die zum Verwalten von Identitäten von der Erstellung bis zum Ruhestand verwendet werden.

Microsoft BHOLD Suite erweitert diese Funktionen von MIM durch Hinzufügen einer rollenbasierten Zugriffssteuerung. BHOLD ermöglicht Es Organisationen, Benutzerrollen zu definieren und den Zugriff auf vertrauliche Daten und Anwendungen zu steuern. Der Zugriff basiert darauf, was für diese Rollen geeignet ist. BHOLD Suite umfasst Dienste und Tools, die die Modellierung der Rollenbeziehungen innerhalb der Organisation vereinfachen. BHOLD ordnet diese Rollen Rechten zu und überprüft, ob die Rollendefinitionen und zugehörigen Rechte korrekt auf Benutzer angewendet werden. Diese Funktionen sind vollständig in MIM integriert und bieten ein nahtloses Erlebnis für Endbenutzer und IT-Mitarbeiter.

Dieser Leitfaden hilft Ihnen zu verstehen, wie BHOLD Suite mit MIM funktioniert und die folgenden Themen behandelt:

• Rollenbasierte Zugriffssteuerung
• Nachweis
• Berichterstattung
• Access Management Connector

BHOLD wird für neue Bereitstellungen nicht empfohlen. Microsoft Entra ID bietet jetzt Zugriffsüberprüfungen, die die Features der BHOLD-Bestätigungskampagne und die Berechtigungsverwaltung ersetzen, wodurch die Zugriffszuweisungsfunktionen ersetzt werden.

Rollenbasierte Zugriffssteuerung

Die am häufigsten verwendete Methode zum Steuern des Benutzerzugriffs auf Daten und Anwendungen erfolgt über die diskretionäre Zugriffssteuerung (DAC). In den meisten gängigen Implementierungen verfügt jedes signifikante Objekt über einen identifizierten Besitzer. Der Besitzer hat die Möglichkeit, anderen Basierend auf individueller Identität oder Gruppenmitgliedschaft Zugriff auf das Objekt zu gewähren oder zu verweigern. In der Praxis führt DAC in der Regel zu einer Vielzahl von Sicherheitsgruppen, einige, die die Organisationsstruktur widerspiegeln, andere, die funktionale Gruppierungen (z. B. Auftragstypen oder Projektzuweisungen) darstellen, und andere, die aus vorübergehenden Sammlungen von Benutzern und Geräten bestehen, die zu temporären Zwecken verknüpft sind. Wenn Organisationen wachsen, wird die Mitgliedschaft in diesen Gruppen immer schwieriger zu verwalten. Wenn beispielsweise ein Mitarbeiter von einem Projekt in ein anderes übertragen wird, müssen die Gruppen, die zum Steuern des Zugriffs auf die Projektressourcen verwendet werden, manuell aktualisiert werden. In solchen Fällen ist es nicht ungewöhnlich, dass Fehler auftreten, Fehler, die die Projektsicherheit oder Produktivität beeinträchtigen können.

MIM enthält Features, mit denen dieses Problem behoben werden kann, indem die automatische Kontrolle über die Gruppen- und Verteilerlistenmitgliedschaft bereitgestellt wird. Dies betrifft jedoch nicht die systeminterne Komplexität von proliferatierenden Gruppen, die nicht notwendigerweise auf strukturierte Weise miteinander verbunden sind.

Eine Möglichkeit, diese Verbreitung erheblich zu reduzieren, besteht darin, rollenbasierte Zugriffssteuerung (RBAC) bereitzustellen. RBAC verschiebt DAC nicht. RBAC baut auf DAC auf, indem ein Framework zum Klassifizieren von Benutzern und IT-Ressourcen bereitgestellt wird. Auf diese Weise können Sie ihre Beziehung und die Zugriffsrechte explizit festlegen, die entsprechend dieser Klassifizierung geeignet sind. Wenn einem Benutzer beispielsweise Attribute zugewiesen werden, die seine Position und Projektzuweisungen angeben, kann ihm Zugang zu den für seine Aufgaben notwendigen Tools und den Daten gewährt werden, die er für ein bestimmtes Projekt benötigt. Wenn der Benutzer einen anderen Auftrag und unterschiedliche Projektzuweisungen annimmt, werden die Attribute geändert, die die Position des Benutzers angeben, und Projekte blockieren automatisch den Zugriff auf die Ressourcen, die nur für die vorherige Position der Benutzer erforderlich sind.

Da Rollen in hierarchischer Weise innerhalb von Rollen enthalten sein können (z. B. können die Rollen von Vertriebsleiter und Vertriebsmitarbeitern in der allgemeineren Rolle des Verkaufs enthalten sein), ist es einfach, angemessene Rechte bestimmten Rollen zuzuweisen und dennoch allen, die die inklusivere Rolle teilen, angemessene Rechte zu gewähren. In einem Krankenhaus könnten beispielsweise alle medizinischen Mitarbeiter das Recht erhalten, eine Patientenakte einzusehen, aber nur Ärzte (ein Unterteil der medizinischen Rolle) könnten das Recht erhalten, Verschreibungen für den Patienten einzugeben. Ebenso könnte Benutzern, die der Verwaltungsrolle angehören, der Zugang zu Patientenakten verweigert werden, mit Ausnahme von Abrechnungsmitarbeitern (eine Unterrolle der Verwaltungsrolle), die Zugriff auf die Teile einer Patientenakte erhalten können, die für die Abrechnung des Patienten für die vom Krankenhaus bereitgestellten Dienstleistungen erforderlich sind.

Ein zusätzlicher Vorteil von RBAC ist die Möglichkeit, die Trennung von Aufgaben (SoD) zu definieren und durchzusetzen. Auf diese Weise kann eine Organisation Kombinationen von Rollen definieren, die Berechtigungen erteilen, die nicht vomselben Benutzer gehalten werden sollen, sodass einem bestimmten Benutzer keine Rollen zugewiesen werden können, die es dem Benutzer ermöglichen, eine Zahlung zu initiieren und beispielsweise eine Zahlung zu autorisieren. RBAC bietet die Möglichkeit, eine solche Richtlinie automatisch zu erzwingen, anstatt die effektive Implementierung der Richtlinie pro Benutzer zu bewerten.

BHOLD-Rollenmodellobjekte

Mit BHOLD Suite können Sie Rollen innerhalb Ihrer Organisation angeben und organisieren, Benutzern Rollen zuordnen und entsprechende Berechtigungen für Rollen zuordnen. Diese Struktur wird als Rollenmodell bezeichnet und enthält und verbindet fünf Objekttypen:

• Organisationseinheiten
• Benutzer
• Rollen
• Erlaubnisse
• Anträge

Organisationseinheiten

Organisationseinheiten (OrgUnits) sind die Hauptmittel, mit denen Benutzer im BHOLD-Rollenmodell organisiert sind. Jeder Benutzer muss mindestens einer OrgUnit angehören. (Wenn ein Benutzer aus der letzten Organisationseinheit in BHOLD entfernt wird, wird der Datensatz des Benutzers aus der BHOLD-Datenbank gelöscht.)

Obwohl es nicht erforderlich ist, sind in den meisten Fällen Organisationseinheiten in BHOLD strukturiert, um die hierarchische Struktur der tatsächlichen Organisation darzustellen, ähnlich der folgenden:

In diesem Beispiel würde das Rollenmodell die Organisationseinheit für das Unternehmen als Ganzes darstellen (repräsentiert durch den Präsidenten, da der Präsident nicht Teil einer mororganisatorischen Organisationseinheit ist), oder die Stammorganisationseinheit BHOLD (die immer existiert) könnte zu diesem Zweck verwendet werden. OrgUnits, die die von den Vizepräsidenten geleiteten Unternehmensbereiche vertreten, würden in den Unternehmensorganisationsbereich eingeordnet. Als Nächstes würden Organisationseinheiten, die den Marketing- und Vertriebsleitern entsprechen, den Marketing- und Vertriebseinheiten hinzugefügt, und Organisationseinheiten, die die regionalen Vertriebsleiter vertreten, würden in die Organisationseinheit für den Vertriebsleiter der Ostregion platziert. Vertriebsmitarbeiter, die keine anderen Benutzer verwalten, würden Mitglieder der Organisationseinheit des Vertriebsleiters der Region Ostregion werden. Beachten Sie, dass Benutzer Mitglieder einer Organisationseinheit auf jeder Ebene sein können. Beispielsweise wäre ein Verwaltungsassistent, der kein Vorgesetzter ist und direkt an einen Vizepräsidenten berichtet, Mitglied der Organisationseinheit des Vizepräsidenten.

Zusätzlich zur Darstellung der Organisationsstruktur können Organisationseinheiten auch verwendet werden, um Benutzer und andere Organisationseinheiten nach funktionalen Kriterien zu gruppieren, z. B. für Projekte oder Spezialisierung. Das folgende Diagramm zeigt, wie Organisationseinheiten verwendet werden, um Vertriebsmitarbeiter nach Kundentyp zu gruppieren:

In diesem Beispiel würde jeder Vertriebsmitarbeiter zu zwei Organisationseinheiten gehören: eine, die den Platz des Geschäftspartners in der Verwaltungsstruktur der Organisation darstellt, und eine, die die Kundenbasis des Geschäftspartners (Einzelhandel oder Unternehmen) darstellt. Jeder Organisationseinheit kann verschiedene Rollen zugewiesen werden, die wiederum unterschiedlichen Berechtigungen für den Zugriff auf die IT-Ressourcen der Organisation zugewiesen werden können. Darüber hinaus können Rollen von übergeordneten Organisationseinheiten geerbt werden, was das Verteilen von Rollen an Benutzer vereinfacht. Andererseits kann verhindert werden, dass bestimmte Rollen vererbt werden, sodass eine bestimmte Rolle nur den entsprechenden Organisationseinheiten zugeordnet ist.

OrgUnits können mit dem BHOLD Core-Webportal in BHOLD Suite erstellt werden.

Benutzer

Wie oben erwähnt, muss jeder Benutzer mindestens einer Organisationseinheit (OrgUnit) angehören. Da Organisationseinheiten der Hauptmechanismus zum Zuordnen eines Benutzers zu Rollen sind, gehört ein bestimmter Benutzer in den meisten Organisationen zu mehreren OrgUnits, um die Zuordnung von Rollen zu diesem Benutzer zu vereinfachen. In einigen Fällen kann es jedoch erforderlich sein, eine Rolle mit einem Benutzer zu verknüpfen, abgesehen von allen OrgUnits, zu denen der Benutzer gehört. Folglich kann ein Benutzer direkt einer Rolle zugewiesen werden sowie Rollen von den OrgUnits abrufen, zu denen der Benutzer gehört.

Wenn ein Benutzer nicht innerhalb der Organisation aktiv ist (z. B. für medizinische Abwesenheit), kann der Benutzer angehalten werden, wodurch alle Berechtigungen des Benutzers widerrufen werden, ohne den Benutzer aus dem Rollenmodell zu entfernen. Nach der Rückkehr zur Pflicht kann der Benutzer reaktiviert werden, wodurch alle berechtigungen wiederhergestellt werden, die von den Rollen des Benutzers gewährt werden.

Objekte für Benutzer können einzeln im BHOLD Core-Webportal oder mithilfe des Zugriffsverwaltungsconnectors mit dem FIM-Synchronisierungsdienst erstellt werden, um Benutzerinformationen aus Quellen wie Active Directory Domain Services oder Personalanwendungen zu importieren.

Benutzer können direkt in BHOLD erstellt werden, ohne den FIM-Synchronisierungsdienst zu verwenden. Dies kann beim Modellieren von Rollen in einer Vorproduktions- oder Testumgebung hilfreich sein. Sie können auch zulassen, dass externen Benutzern (z. B. Mitarbeitern eines Subunternehmers) Rollen zugewiesen werden und somit Zugriff auf IT-Ressourcen erhalten, ohne der Mitarbeiterdatenbank hinzugefügt zu werden; Diese Benutzer können die BHOLD-Self-Service-Features jedoch nicht verwenden.

Rollen

Wie bereits erwähnt, werden berechtigungen im Rahmen des rollenbasierten Zugriffssteuerungsmodells (RBAC) mit Rollen und nicht mit einzelnen Benutzern verknüpft. Dadurch kann jedem Benutzer die erforderlichen Berechtigungen erteilt werden, um die Aufgaben des Benutzers auszuführen, indem die Rollen des Benutzers geändert werden, anstatt die Benutzerberechtigungen separat zu erteilen oder zu verweigern. Die Zuweisung von Berechtigungen erfordert daher keine Beteiligung der IT-Abteilung mehr, sondern kann stattdessen als Teil der Verwaltung des Unternehmens durchgeführt werden. Eine Rolle kann Berechtigungen für den Zugriff auf verschiedene Systeme entweder direkt oder über die Verwendung von Unterrolen aggregieren und die Notwendigkeit der IT-Einbindung bei der Verwaltung von Benutzerberechtigungen weiter verringern.

Es ist wichtig zu beachten, dass Rollen ein Merkmal des RBAC-Modells selbst sind; Rollen werden in der Regel nicht für Zielanwendungen bereitgestellt. Auf diese Weise kann RBAC sowohl mit vorhandenen Anwendungen verwendet werden, die nicht für die Nutzung von Rollen konzipiert sind, als auch um die Rollendefinitionen den Anforderungen sich ändernder Geschäftsmodelle anzupassen, ohne die Anwendungen selbst ändern zu müssen. Wenn eine Zielanwendung so konzipiert ist, dass sie Rollen verwendet, können Sie Rollen im BHOLD-Rollenmodell mit den entsprechenden Anwendungsrollen verknüpfen, indem Sie die anwendungsspezifischen Rollen als Berechtigungen behandeln.

In BHOLD können Sie einem Benutzer in erster Linie auf zwei Arten eine Rolle zuweisen:

• Durch Zuweisen einer Rolle zu einer Organisationseinheit (Organisationseinheit), deren Mitglied der Benutzer ist
• Durch direktes Zuweisen einer Rolle zu einem Benutzer

Eine Rolle, die einer übergeordneten Organisationseinheit zugewiesen ist, kann optional von ihren Mitgliedsorganisationseinheiten geerbt werden. Wenn eine Rolle von einer Organisationseinheit zugewiesen oder geerbt wird, kann sie als effektive oder vorgeschlagene Rolle festgelegt werden. Wenn es sich um eine effektive Rolle handelt, werden allen Benutzern in der Organisationseinheit die Rolle zugewiesen. Wenn es sich um eine vorgeschlagene Rolle handelt, muss sie für jede Benutzer- oder Mitgliedsorganisationseinheit aktiviert werden, damit sie für die Mitglieder dieser Benutzer- oder Organisationseinheit wirksam wird. Auf diese Weise können Benutzer eine Teilmenge der Rollen zugewiesen werden, die einer Organisationseinheit zugeordnet sind, anstatt allen Mitgliedern automatisch alle Rollen der Organisationseinheit zuzuweisen. Darüber hinaus können Rollen Anfangs- und Endtermine zugewiesen werden, und Grenzwerte können auf den Prozentsatz der Benutzer innerhalb einer Organisationseinheit gesetzt werden, für die eine Rolle effektiv sein kann.

Das folgende Diagramm veranschaulicht, wie einem einzelnen Benutzer eine Rolle in BHOLD zugewiesen werden kann:

In diesem Diagramm wird die Rolle A einer Organisationseinheit als vererbbare Rolle zugewiesen und daher von ihren Mitgliedsorganisationseinheiten und allen Benutzern innerhalb dieser Organisationseinheiten geerbt. Rolle B wird als vorgeschlagene Rolle für eine Organisationseinheit zugewiesen. Sie muss aktiviert werden, bevor ein Benutzer in der Organisationseinheit mit den Berechtigungen der Rolle autorisiert werden kann. Rolle C ist eine effektive Rolle, sodass ihre Berechtigungen sofort für alle Benutzer in der Organisationseinheit gelten. Rolle D ist direkt mit dem Benutzer verknüpft, sodass seine Berechtigungen sofort für diesen Benutzer gelten.

Darüber hinaus kann eine Rolle für einen Benutzer basierend auf den Attributen eines Benutzers aktiviert werden. Weitere Informationen finden Sie unter Attributbasierte Autorisierung.

Erlaubnisse

Eine Berechtigung in BHOLD entspricht einer aus einer Zielanwendung importierten Autorisierung. Wenn BHOLD für die Arbeit mit einer Anwendung konfiguriert ist, erhält sie eine Liste der Autorisierungen, die BHOLD mit Rollen verknüpfen kann. Wenn z. B. Active Directory Domain Services (AD DS) als Anwendung zu BHOLD hinzugefügt wird, erhält sie eine Liste von Sicherheitsgruppen, die als BHOLD-Berechtigungen mit Rollen in BHOLD verknüpft werden können.

Berechtigungen sind spezifisch für Anwendungen. BHOLD bietet eine einzelne, einheitliche Ansicht von Berechtigungen, sodass Berechtigungen Rollen zugeordnet werden können, ohne dass Rollenmanager die Implementierungsdetails der Berechtigungen verstehen müssen. In der Praxis können unterschiedliche Systeme eine Berechtigung anders erzwingen. Der anwendungsspezifische Connector vom FIM-Synchronisierungsdienst an die Anwendung bestimmt, wie Berechtigungsänderungen für einen Benutzer für diese Anwendung bereitgestellt werden.

Anträge

BHOLD implementiert eine Methode zum Anwenden einer rollenbasierten Zugriffssteuerung (RBAC) auf externe Anwendungen. Wenn BHOLD mit Benutzern und Berechtigungen aus einer Anwendung bereitgestellt wird, kann BHOLD diese Berechtigungen benutzern zuordnen, indem er den Benutzern Rollen zuweist und dann die Berechtigungen mit den Rollen verknüpft. Der Hintergrundprozess der Anwendung kann dann den Benutzern die richtigen Berechtigungen basierend auf der Rollen-/Berechtigungszuordnung in BHOLD zuordnen.

Entwickeln des BHOLD Suite-Rollenmodells

Um Ihnen bei der Entwicklung Ihres Rollenmodells zu helfen, bietet BHOLD Suite den Modellgenerator, ein Tool, das sowohl einfach zu bedienen als auch umfassend ist.

Bevor Sie den Modellgenerator verwenden, müssen Sie eine Reihe von Dateien erstellen, die die Objekte definieren, die vom Modellgenerator zum Erstellen des Rollenmodells verwendet werden. Informationen zum Erstellen dieser Dateien finden Sie in der technischen Referenz zu Microsoft BHOLD Suite.

Der erste Schritt bei der Verwendung des BHOLD-Modellgenerators besteht darin, diese Dateien zu importieren, um die grundlegenden Bausteine in den Modellgenerator zu laden. Wenn die Dateien erfolgreich geladen wurden, können Sie dann Kriterien angeben, die der Modellgenerator zum Erstellen mehrerer Rollenklassen verwendet:

• Mitgliedschaftsrollen, die einem Benutzer basierend auf den OrgUnits (Organisationseinheiten) zugewiesen sind, zu denen der Benutzer gehört
• Attributrollen, die einem Benutzer basierend auf den Attributen des Benutzers in der BHOLD-Datenbank zugewiesen sind
• Vorgeschlagene Rollen, die mit einer Organisationseinheit verknüpft sind, aber für bestimmte Benutzer aktiviert werden müssen
• Besitzerrollen, die einem Benutzer die Kontrolle über Organisationseinheiten und Rollen gewähren, für die ein Besitzer in den importierten Dateien nicht angegeben ist

Nachdem der Modellgenerator diese Rollen im Rollenmodell erstellt hat, können Sie das Rollenmodell dann in die BHOLD-Datenbank in Form einer XML-Datei exportieren.

Erweiterte BHOLD-Funktionen

In früheren Abschnitten wurden die grundlegenden Features der rollenbasierten Zugriffssteuerung (RBAC) in BHOLD beschrieben. In diesem Abschnitt werden zusätzliche Features in BHOLD beschrieben, die eine verbesserte Sicherheit und Flexibilität für die Implementierung von RBAC in Ihrer Organisation bieten können. Dieser Abschnitt enthält Übersichten über die folgenden BHOLD-Features:

• Kardinalität
• Aufgabentrennung
• Kontextanpassungsfähige Berechtigungen
• Attributbasierte Autorisierung
• Flexible Attributstypen

Kardinalität

Kardinalität bezieht sich auf die Implementierung von Geschäftsregeln, die darauf abzielen, die Anzahl der Beziehungen zwischen zwei Entitäten zu begrenzen. Bei BHOLD können Kardinalitätsregeln für Rollen, Berechtigungen und Benutzer festgelegt werden.

Sie können eine Rolle so konfigurieren, dass Folgendes eingeschränkt wird:

• Die maximale Anzahl von Benutzern, für die eine vorgeschlagene Rolle aktiviert werden kann
• Die maximale Anzahl von Unterrolen, die mit der Rolle verknüpft werden können
• Die maximale Anzahl von Berechtigungen, die mit der Rolle verknüpft werden können

Sie können eine Berechtigung konfigurieren, um Folgendes einzuschränken:

• Die maximale Anzahl von Rollen, die mit der Berechtigung verknüpft werden können
• Die maximale Anzahl von Benutzern, denen die Berechtigung erteilt werden kann

Sie können einen Benutzer so konfigurieren, dass er Folgendes einschränkt:

• Die maximale Anzahl von Rollen, die mit dem Benutzer verknüpft werden können
• Die maximale Anzahl von Berechtigungen, die dem Benutzer über Rollenzuweisungen zugewiesen werden können

Aufgabentrennung

Die Trennung von Aufgaben (SoD) ist ein Geschäftsprinzip, das verhindert, dass Einzelpersonen die Fähigkeit haben, Aktionen auszuführen, die nicht für eine einzelne Person verfügbar sein sollten. Beispielsweise sollte ein Mitarbeiter keine Zahlung anfordern und die Zahlung autorisieren können. Das Prinzip von SoD ermöglicht Es Organisationen, ein System von Prüfungen und Balancen zu implementieren, um ihre Gefährdung durch Mitarbeiterfehler oder Fehlverhalten zu minimieren.

BHOLD implementiert SoD, indem Sie inkompatible Berechtigungen definieren können. Wenn diese Berechtigungen definiert sind, erzwingt BHOLD SoD, indem verhindert wird, dass rollen erstellt werden, die mit inkompatiblen Berechtigungen verknüpft sind, unabhängig davon, ob sie direkt oder durch Vererbung verknüpft sind, und indem Verhindert wird, dass Benutzern mehrere Rollen zugewiesen werden, die, wenn kombiniert, inkompatible Berechtigungen erteilen würden, erneut durch direkte Zuweisung oder durch Vererbung. Optional können Konflikte außer Kraft gesetzt werden.

Kontextanpassungsfähige Berechtigungen

Durch das Erstellen von Berechtigungen, die basierend auf einem Objektattribute automatisch geändert werden können, können Sie die Gesamtzahl der Berechtigungen verringern, die Sie verwalten müssen. Mit kontextanpassungsfähigen Berechtigungen (CAPs) können Sie eine Formel als Berechtigungsattribut definieren, das ändert, wie die Berechtigung von der Anwendung angewendet wird, die der Berechtigung zugeordnet ist. Sie können z. B. eine Formel erstellen, die die Zugriffsberechtigung für einen Dateiordner ändert (über eine Sicherheitsgruppe, die der Zugriffssteuerungsliste des Ordners zugeordnet ist) basierend darauf, ob ein Benutzer zu einer Organisationseinheit (Organisationseinheit) gehört, die Vollzeit- oder Vertragsmitarbeiter enthält. Wenn der Benutzer von einer Organisationseinheit in eine andere verschoben wird, wird die neue Berechtigung automatisch angewendet, und die alte Berechtigung wird deaktiviert.

Die CAP-Formel kann die Werte von Attributen abfragen, die auf Anwendungen, Berechtigungen, Organisationseinheiten und Benutzer angewendet wurden.

Attributbasierte Autorisierung

Eine Möglichkeit, zu steuern, ob eine Rolle, die mit einer Organisationseinheit (Organisationseinheit) verknüpft ist, für einen bestimmten Benutzer in der Organisationseinheit aktiviert wird, besteht darin, die attributbasierte Autorisierung (ABA) zu verwenden. Mithilfe von ABA können Sie eine Rolle nur dann automatisch aktivieren, wenn bestimmte Regeln, die auf den Attributen eines Benutzers basieren, erfüllt sind. Sie können beispielsweise eine Rolle mit einer Organisationseinheit verknüpfen, die nur dann für einen Benutzer aktiv wird, wenn die Position des Benutzers mit der Position in der ABA-Regel übereinstimmt. Dadurch wird die Notwendigkeit beseitigt, eine vorgeschlagene Rolle für einen Benutzer manuell zu aktivieren. Stattdessen kann eine Rolle für alle Benutzer in einer Organisationseinheit aktiviert werden, die über einen Attributwert verfügen, der die ABA-Regel der Rolle erfüllt. Regeln können kombiniert werden, sodass eine Rolle nur aktiviert wird, wenn die Attribute eines Benutzers alle für die Rolle angegebenen ABA-Regeln erfüllen.

Es ist wichtig zu beachten, dass die Ergebnisse von ABA-Regeltests durch Kardinalitätseinstellungen begrenzt sind. Wenn beispielsweise die Kardinalitätseinstellung einer Regel angibt, dass nicht mehr als zwei Benutzer einer Rolle zugewiesen werden können, und wenn eine ABA-Regel andernfalls eine Rolle für vier Benutzer aktivieren würde, wird die Rolle nur für die ersten beiden Benutzer aktiviert, die den ABA-Test bestehen.

Flexible Attributstypen

Das System der Attribute in BHOLD ist sehr erweiterbar. Sie können neue Attributtypen für Objekte wie Benutzer, Organisationseinheiten (Organisationseinheiten) und Rollen definieren. Attribute können definiert werden, um Werte zu haben, die ganze Zahlen, boolescher Wert (ja/nein), alphanumerisch, Datum, Uhrzeit und E-Mail-Adressen sind. Attribute können als einzelne Werte oder eine Wertliste angegeben werden.

Nachweis

Die BHOLD Suite bietet Tools, mit denen Sie überprüfen können, ob einzelnen Benutzern geeignete Berechtigungen zum Ausführen ihrer Geschäftsaufgaben erteilt wurden. Der Administrator kann das vom BHOLD Attestation-Modul bereitgestellte Portal verwenden, um den Nachweisprozess zu entwerfen und zu verwalten.

Der Nachweisprozess wird mithilfe von Kampagnen durchgeführt, in denen Kampagnenverantwortliche die Möglichkeit erhalten und mittel, zu überprüfen, ob die Benutzer, für die sie verantwortlich sind, über einen angemessenen Zugriff auf BHOLD-verwaltete Anwendungen und korrekte Berechtigungen innerhalb dieser Anwendungen verfügen. Ein Kampagnenbesitzer ist dafür vorgesehen, die Kampagne zu überwachen und sicherzustellen, dass die Kampagne ordnungsgemäß ausgeführt wird. Eine Kampagne kann so erstellt werden, dass sie einmal oder auf wiederkehrender Basis stattfindet.

In der Regel ist der Steward für eine Kampagne ein Vorgesetzter, der die Zugriffsrechte von Benutzern bescheinigt, die zu einer oder mehreren Organisationseinheiten gehören, für die der Vorgesetzte verantwortlich ist. Stewards können automatisch für die Benutzer ausgewählt werden, die in einer Kampagne auf der Grundlage von Benutzerattributen bescheinigt werden, oder die Stewards für eine Kampagne können definiert werden, indem sie in einer Datei aufgelistet werden, die jeden Benutzer, der in der Kampagne bescheinigt wird, einem Steward zuordnet.

Wenn eine Kampagne beginnt, sendet BHOLD eine E-Mail-Benachrichtigung an die Kampagnenverantwortlichen und -besitzer und sendet dann regelmäßige Erinnerungen, um sie bei der Verwaltung des Fortschritts in der Kampagne zu unterstützen. Stewards werden an ein Kampagnenportal weitergeleitet, in dem sie eine Liste der Benutzer sehen können, für die sie verantwortlich sind, und die Rollen, die diesen Benutzern zugewiesen sind. Die Stewards können dann bestätigen, ob sie für jeden der aufgeführten Benutzer verantwortlich sind, und die Zugriffsrechte der einzelnen aufgeführten Benutzer genehmigen oder verweigern.

Kampagnenbesitzer verwenden auch das Portal, um den Fortschritt der Kampagne zu überwachen, und Kampagnenaktivitäten werden protokolliert, damit Kampagnenbesitzer die Aktionen analysieren können, die im Verlauf der Kampagne ausgeführt wurden.

Berichterstattung

Das BHOLD Reporting-Modul bietet Ihnen die Möglichkeit, Informationen im Rollenmodell über eine Vielzahl von Berichten anzuzeigen. Das BHOLD Reporting-Modul bietet einen umfangreichen Satz integrierter Berichte sowie einen Assistenten, mit dem Sie sowohl einfache als auch erweiterte benutzerdefinierte Berichte erstellen können. Wenn Sie einen Bericht ausführen, können Sie die Ergebnisse sofort anzeigen oder die Ergebnisse in einer Microsoft Excel(.xlsx)-Datei speichern. Um diese Datei mithilfe von Microsoft Excel 2000, Microsoft Excel 2002 oder Microsoft Excel 2003 anzuzeigen, können Sie das Microsoft Office Compatibility Pack für Word-, Excel- und PowerPoint-Dateiformate herunterladen und installieren.

Sie verwenden das Modul BHOLD Reporting hauptsächlich, um Berichte zu erstellen, die auf aktuellen Rolleninformationen basieren. Für generierte Berichte zur Überwachung von Änderungen an Identitätsinformationen verfügt Forefront Identity Manager 2010 R2 über eine Berichterstellungsfunktion für den FIM-Dienst, der im System Center Service Manager Data Warehouse implementiert ist. Weitere Informationen zur FIM-Berichterstellung finden Sie in der Technischen Bibliothek von Forefront Identity Manager 2010 und Forefront Identity Manager 2010 R2.

Kategorien, die von den integrierten Berichten abgedeckt werden, umfassen Folgendes:

• Verwaltung
• Nachweis
• Bedienelemente
• Zugriffskontrolle nach innen
• Protokollierung
• Modell
• Statistik
• Arbeitsablauf

Sie können Berichte erstellen und diesen Kategorien hinzufügen oder eigene Kategorien definieren, in denen Sie benutzerdefinierte und integrierte Berichte platzieren können.

Wenn Sie einen Bericht erstellen, führt Sie der Assistent durch die Eingabe der folgenden Parameter:

• Identifizieren von Informationen, einschließlich Name, Beschreibung, Kategorie, Verwendung und Zielgruppe
• Felder, die im Bericht angezeigt werden sollen
• Abfragen, die angeben, welche Elemente analysiert werden sollen
• Reihenfolge, in der Zeilen sortiert werden sollen
• Felder, die zum Aufteilen des Berichts in Abschnitte verwendet werden
• Filtert, um die elemente zu verfeinern, die im Bericht zurückgegeben werden

In jeder Phase des Assistenten können Sie eine Vorschau des Berichts anzeigen, wie Sie ihn bisher definiert haben, und sie speichern, wenn Sie keine zusätzlichen Parameter angeben müssen. Sie können auch zu vorherigen Schritten zurückgehen, um Parameter zu ändern, die Sie zuvor im Assistenten festgelegt haben.

Access Management Connector

Das BHOLD Suite Access Management Connector-Modul unterstützt sowohl die anfängliche als auch die fortlaufende Synchronisierung von Daten in BHOLD. Der Access Management Connector arbeitet mit dem FIM-Synchronisierungsdienst zusammen, um Daten zwischen der BHOLD Core-Datenbank, dem MIM-Metaverse und Zielanwendungen und Identitätsspeichern zu verschieben.

In früheren Versionen von BHOLD mussten mehrere MAs zum Steuern des Datenflusses zwischen MIM- und Zwischentabellen der BHOLD-Datenbank erforderlich sein. In BHOLD Suite SP1 können Sie mit dem Access Management Connector Verwaltungs-Agents (MAs) in MIM definieren, die die Datenübertragung direkt zwischen BHOLD und MIM ermöglichen.

Nächste Schritte

• BHOLD-Installationshandbuch
• BHOLD-Entwicklerreferenz
• BHOLD-Versionsverlauf