6.2 Erstellen von Berechtigungen: Überblick

Sie sollten im Voraus wissen, was Sie mit den Berechtigungen erreichen möchten. Berechtigungen sind an die Funktionalitäten gekoppelt, die Sie anhand von Richtlinien in Identity Manager-Treiber integrieren. Diese Treiberrichtlinien implementieren Regeln und verarbeiten die Ereignisse zwischen dem Identitätsdepot und dem verbundenen System. Wenn die Richtlinien im Identity Manager-Treiber nicht das angeben, was Sie bewirken möchten, können die Berechtigungen nicht funktionieren. Wenn Sie beispielsweise den Aktionsabschnitt der Regel „'Benutzer ändern' für Gruppenmitgliedschaften aktivieren, die zugewiesen oder entzogen werden“ in der Richtlinie „Befehl“ nicht angeben, wird jeder Versuch, eine Gruppenmitgliedschaftsberechtigung zu erteilen oder zu entziehen, ignoriert.

Sie müssen genau wissen, was Sie mit Identity Manager erreichen möchten. Nur dann können Sie Zugriffsmöglichkeiten auf Ressourcen verbundener Systeme sinnvoll erteilen oder entziehen. Bei der Planung und Verwendung von Berechtigungen können Ihnen die vier folgenden Schritte helfen:

  1. Machen Sie sich klar, was Sie in Ihrer Geschäftssituation erreichen möchten. Sie können alles nur Denkbare mit Identity Manager entwickeln und implementieren. Bevor Sie jedoch etwas implementieren, das noch nicht definiert ist, müssen Sie genau wissen, was Sie vorhaben. Erstellen Sie eine nummerierte Liste der gewünschten Ziele.
  2. Definieren Sie eine Berechtigung für einen einzelnen Punkt in Ihrer Liste. Sie können Berechtigungen mit und ohne Wert erstellen. Berechtigungen mit Werten beziehen diese Werte aus einer externen Abfrage. Sie können vom Administrator oder frei definiert sein. Entsprechende Beispiele finden Sie in Schnitt 6.4.6, Beispielberechtigungen zum leichteren Erstellen eigener Berechtigungen.
  3. Fügen Sie Richtlinien zum Identity Manager-Treiber hinzu, um die von Ihnen entworfene Berechtigung zu implementieren. Damit Sie eine Richtlinie für einen Identity Manager-Treiber erstellen können, müssen Sie mit XSLT- oder DirXML-Skripten, mit der Übernahme und Verarbeitung von Daten durch das verbundene System und mit der Art und Weise der Speicherung dieser Daten durch Novell® eDirectory™ vertraut sein. Wenn Sie kein erfahrener DirXML*-Programmierer sind, sollte diese Aufgabe von Experten durchgeführt werden.
  4. Richten Sie einen Verwaltungsagenten zum Erteilen oder Entziehen der Berechtigung ein. Wenn Sie einen automatisierten Prozess wünschen, verwenden Sie funktionsbasierte Berechtigungen; wenn Sie einen manuellen Prozess wünschen, verwenden Sie die Workflow-basierte Bereitstellung.

6.2.1 Identity Manager-Treiber mit Vorkonfigurationen, die Berechtigungen unterstützen

Zu Identity Manager gehören mehrere vorkonfigurierte Treiber, die bereits Berechtigungen und Richtlinien für die Implementierung von Berechtigungen enthalten. Zudem sind diese Treiber so konfiguriert, dass sie den Datenverkehr auf Berechtigungsaktivitäten überwachen. Sie müssen Berechtigungen bei der erstmaligen Installation eines Treibers aktivieren, damit die entsprechend vorkonfigurierten Elemente des Treibers wirksam werden. Die folgenden Treiber verfügen über Vorkonfigurationen, die Berechtigungen unterstützen:

  • Active Directory*
  • Exchange
  • GroupWise®
  • LDAP
  • NIS
  • Lotus* Notes*
  • NT Domain
  • RACF

Bei diesen vorkonfigurierten Treibern sind die ersten drei der oben beschriebenen vier Schritte bereits umgesetzt. Die verschiedenen Arten von Beispiel-Berechtigungen, die diese Treiber unterstützen, eignen sich für die gängigsten Szenarios: Erteilen und Entziehen von Benutzerkonten, Gruppenmitgliedschaften und Email-Verteilerlisten. Nachfolgend die Möglichkeiten der einzelnen Treiber:

  • Active Directory: Erteilen und Entziehen von Konten, Gruppenmitgliedschaften, Exchange-Postfach
  • Exchange 5.5: Erteilen und Entziehen von Mailbox- und Gruppenmitgliedschaften
  • GroupWise: Erteilen und Entziehen von Konten, Erteilen und Entziehen der Zugehörigkeit zu Verteilerlisten
  • LDAP: Erteilen und Entziehen von Benutzerkonten
  • Linux* und UNIX*: Erteilen und Entziehen von Konten
  • Lotus Notes: Erteilen und Entziehen von Benutzerkonten und Gruppenmitgliedschaften
  • NT Domain: Erteilen und Entziehen von Benutzerkonten und Gruppenmitgliedschaften
  • RACF: Erteilen und Entziehen von Gruppenkonten und Gruppenmitgliedschaften

Diese Beispielberechtigungen und -richtlinien können Sie unverändert übernehmen, wenn sie Ihren Vorstellungen entsprechen. Sie haben aber auch die Möglichkeit, die Treiber abzuwandeln oder als Beispielvorlagen zu verwenden, und eigene Treiber mit iManager oder Designer zu erstellen. Wichtig ist, wie bereits erwähnt, dass Sie die vorkonfigurierten Berechtigungen dieser Treiber nur verwenden können, wenn Sie Berechtigungen beim Erstellen des vorkonfigurierten Treibers in Designer oder iManager aktivieren. Vorkonfigurierte Berechtigungen können später nicht mehr hinzugefügt werden, ohne den Treiber neu zu erstellen.

Wenn Sie Berechtigungen bisher mit Identity Manager 2.x verwendet haben und diese Berechtigungen jetzt mit Identity Manager 3 nutzen möchten, müssen Sie die Option Berechtigungen aufrüsten unter Identity Manager-Dienstprogramme ausführen.

6.2.2 Aktivieren von Berechtigungen bei anderen Identity Manager-Treibern

Sie können auch weiterhin Berechtigungen bei Identity Manager-Treibern verwenden, die nicht entsprechend vorkonfiguriert sind. Um die Unterstützung von Berechtigungen durch den Treiber zu aktivieren, fügen Sie das Attribut „DirXML-EntitlementRef“ zum Treiberfilter hinzu. Dazu gehen Sie wie folgt vor:

  1. Wählen Sie Identity Manager > Identity Manager-Überblick.
  2. Wechseln Sie zu dem Treibersatz, der den Treiber enthält, und klicken Sie anschließend auf Suchen.
  3. Wählen Sie das Treiberobjekt auf der Seite „Identity Manager-Überblick“ aus dem angezeigten Treibersatz aus.
    Beschreibung: Auswählen eines Treibers aus dem Treibersatz
  4. Doppelklicken Sie im Treibersatz auf den gewünschten Treiber, um die Treiberseite zu öffnen. Klicken Sie auf das Symbol Treiberfilter rechts neben dem Identitätsdepot (rot eingekreist).
    Beschreibung: Wählen Sie den Treiberfilter für den Abonnentenkanal aus
  5. Wählen Sie auf der Filterseite Attribut hinzufügen, blättern Sie nach unten und wählen Sie Alle Attribute anzeigen. Wählen Sie das Attribut DirXML-EntitlementRef und klicken Sie auf OK.
    Beschreibung: Auswählen des Attributs „DirXML-EntitlementRef“
  6. Wählen Sie auf der Seite „Filter“ das Attribut DirXML-EntitlementRef aus. Wählen Sie unter „Abonnieren“ die Option Benachrichtigen. Klicken Sie auf OK.
    Beschreibung: Auswählen von „Benachrichtigen“ unter „Abonnieren“
  7. Dieser Vorgang wird automatisch durchgeführt, wenn Sie Berechtigungen für einen Treiber mit Designer erstellen.