Die nachstehenden Informationen beziehen sich nicht auf eine bestimmte Implementierung, sondern auf alle Berechtigungen.
Sie können die Konsequenzen des Erteilens oder Entziehens einer Berechtigung steuern. Jeder Treiber liefert eine Liste der unterstützten Möglichkeiten zur Steuerung der Konsequenzen des “Erteilens” oder “Entziehens.”
Wenn Sie beispielsweise ein GroupWise-Konto hinzufügen, können Sie festlegen, dass „Erteilen“ in Wirklichkeit bedeutet, dem Benutzer das Konto in deaktiviertem Zustand zu erteilen, sodass der Administrator eingreifen muss, bevor der Benutzer auf das Konto zugreifen kann. Sie können das Konto auch aktivieren, dies ist die Standardeinstellung.
Standardmäßig werden in den mitgelieferten Treiberkonfigurationen die Optionen verwendet, bei denen ein Datenverlust am unwahrscheinlichsten ist. So ist beispielsweise die Standardbedeutung von „Entfernen“ bei einem GroupWise-Konto auf “Deaktivieren” eingestellt, damit das Konto nicht verloren geht, wenn der Administrator beim Ändern der Richtlinien einen Fehler macht. Die Identity Manager-Treiberkonfigurationen entziehen beispielsweise auch keine Berechtigungen, die Werte aus einem Benutzerkonto in einem anderen System enthalten. Wenn einem Benutzer die Mitgliedschaft in einer Email-Verteilerliste erteilt wird und der Benutzer später einmal die Kriterien für die Berechtigungsrichtlinie nicht mehr erfüllt, wird er einfach aus der Berechtigungsrichtlinie ausgerschlossen. Die Konten werden deaktiviert, die Gruppenmitgliedschaft und die Attributwerte werden jedoch nicht entfernt. Ein Identity Manager-Experte kann die Treiberkonfigurationen anpassen, wenn Sie andere Ergebnisse wünschen.
Die Interpretation des Entziehens einer Berechtigung ist besonders wichtig, weil funktionsbasierte Berechtigungen die Möglichkeit bieten, in der Produktionsumgebung einer Organisation weitreichende Änderungen durchzuführen, ohne die Ergebnisse vorher testen zu müssen.
Sie können die Einstellungen für das Interpretieren des Erteilens oder Entziehens durch Bearbeiten der Globalkonfigurationswerte eines vorkonfigurierten Treibers ändern. Wenn Sie eine eigene Konfiguration erstellen, können Sie GCVs hinzufügen, damit das Erteilen und Entziehen von Berechtigungen wunschgemäß interpretiert wird.
Funktionsbasierte Berechtigungen bieten die Möglichkeit, auf Basis der Mitgliedschaft in einer Richtlinie weitreichende Änderungen an Berechtigungen wie z. B. Konten durchzuführen. Zugleich bedeutet dies jedoch, dass Fehler beim Ändern von Richtlinien zum Problem werden können. Die mit Identity Manager gelieferten Treiberkonfigurationen verwenden die ungefährlichsten Einstellungen. Sie sollten sich über die Verwendung von GCVs im Klaren sein, um keine Datenverluste zu riskieren.
Wir empfehlen beispielsweise, niemals „delete“ (löschen) als Wert für die GCV zu verwenden, die das Entziehen einer Kontoberechtigung interpretiert.
Als weitere Datenschutzmaßnahme wird der Treiber beim Bearbeiten oder Erstellen von Berechtigungsrichtlinien deaktiviert, damit keine Änderungen wirksam werden, solange Sie die Bearbeitung der Richtlinien noch nicht abgeschlossen haben. Sobald Sie fertig sind, können Sie den Treiber über die Schaltfläche in der Schnittstelle „Berechtigungsrichtlinien“ manuell neu starten. Wenn gleichzeitig ein anderer Benutzer die Berechtigungsrichtlinien bearbeitet und Sie den Berechtigungs-Service-Treiber über die Schaltfläche neu zu starten versuchen, werden Sie ebenso aufgefordert, den Treiber erst dann neu zu starten, wenn der andere Benutzer alle seine Änderungen vorgenommen hat.
Die Passwortsynchronisierung wird bei Treibern mit funktionsbasierten Berechtigungen auf die gleiche Weise verwaltet wie bei anderen Treibern (siehe Passwortsynchronisierung mit verbundenen Systemen).