6.7 Erstellen von Berechtigungsrichtlinien

Zum Erstellen einer Berechtigungsrichtlinie können Sie den mitgelieferten Assistenten verwenden.

  1. Stellen Sie sicher, dass Sie den Berechtigungs-Service-Treiber eingerichtet und die erforderlichen Treiberkonfigurationen erstellt haben.

  2. Klicken Sie in iManager auf Funktionsbasierte Berechtigungen > Funktionsbasierte Berechtigungen.

  3. Wählen Sie einen Treibersatz aus.

    Berechtigungsrichtlinien gelten je Treibersatz.

    Die Liste der bereits vorhandenen Berechtigungsrichtlinien wird geöffnet. Diese ähnelt der Liste in der folgenden Abbildung. Wenn Sie zum ersten Mal funktionsbasierte Berechtigungen verwenden, ist die Liste leer.

    Beschreibung: Liste der Berechtigungsrichtlinien

  4. Klicken Sie auf Neu.

    Der Assistent für Berechtigungsrichtlinien wird geöffnet.

  5. Führen Sie Schritt 1 bis 6 des Assistenten durch, um eine Richtlinie zu erstellen. Informationen zu den einzelnen Schritten des Assistenten finden Sie in der Online-Hilfe.

    1. Geben Sie in Schritt 1 einen Namen und eine Beschreibung für die Richtlinie ein.

    2. Definieren Sie in Schritt 2 den Mitgliederfilter und die Suchparameter.

    3. Definieren Sie in Schritt 3 die statischen Mitglieder, indem Sie Mitglieder in die Suchkriterien aufnehmen oder aus ihnen ausschließen.

    4. Wählen Sie in Schritt 4 einen Identity Manager-Treiber und stellen Sie die Berechtigungen bereit, die darin aufgenommen werden sollen. Die Berechtigungen haben Sie in Schnitt 6.4, Erstellen von Berechtigungen in XML mit iManager erstellt. Klicken Sie auf Treiber hinzufügen und wählen Sie eine hinzuzufügende Berechtigung aus.

      Beschreibung: Auswählen von Berechtigungen

    5. Suchen Sie in Schritt 5 nach Objekten, für die diese Berechtigungsrichtlinie als Trustee dienen soll.

    6. Lesen Sie sich in Schritt 6 die Zusammenfassung durch, um sicherzustellen, dass die Berechtigungsrichtlinie wie von Ihnen gewünscht funktionieren wird. Ist dies der Fall, klicken Sie auf Fertig stellen, klicken Sie andernfalls auf Zurück.

  6. Durch das Erstellen einer Berechtigungsrichtlinie wird der Berechtigungs-Service-Treiber deaktiviert. Klicken Sie auf Neustart, um die Sitzung abzuschließen.

6.7.1 Definieren der Mitgliedschaft für eine Berechtigungsrichtlinie

Wie ein Identity Manager-Treiber, kann auch eine Berechtigungsrichtlinie nur Objekte verwalten, die sich in einer Master- oder einer Lese-/Schreibreproduktion auf dem Server befinden, dem sie zugewiesen ist. Jede Berechtigungsrichtlinie wird einem einzelnen Treibersatzobjekt zugeordnet, das einem bestimmten Server zugewiesen wird.

Nur Benutzerobjekte (und andere aus der Klasse „User“ abgeleitete Objekttypen) können Mitglieder einer Berechtigungsrichtlinie sein. Wählen Sie zum Öffnen der Mitgliedschaftsseite in einer Berechtigungsrichtlinie Funktionsbasierte Berechtigungen > Funktionsbasierte Berechtigungen, markieren Sie in der Liste die Berechtigungsrichtlinie, die Sie bearbeiten möchten, und klicken Sie auf Bearbeiten. Klicken Sie im Internet Explorer auf die Registerkarte Mitgliedschaft. Wählen Sie in Firefox im Pulldown-Menü den Befehl „Dynamische Mitglieder bearbeiten“.

Eine Berechtigungsrichtlinie ist ein dynamisches Gruppenobjekt. Sie können die Mitgliedschaft für eine Berechtigungsrichtlinie dynamisch oder statisch anpassen. Beide Methoden können für dieselbe Berechtigungsrichtlinie eingesetzt werden.

  • Dynamisch: Sie können Kriterien für eine Mitgliedschaft auf Basis von Attributwerten des Objekts definieren, z. B. dass die Stellenbezeichnung das Wort “Manager” enthalten soll. Die von Ihnen festgelegten Kriterien werden in einen LDAP-Filter konvertiert.

    Benutzer, die die Kriterien erfüllen, werden automatisch Mitglieder der Berechtigungsrichtlinie, ohne dass sie einzeln zur Richtlinie hinzugefügt werden müssen. Die dynamische Mitgliedschaft entspricht einem dynamischen Gruppenobjekt.

    Wenn sich ein Objekt ändert und die Kriterien für die dynamische Mitgliedschaft nicht mehr erfüllt, werden die Berechtigungen automatisch entzogen.

    Abbildung 6-2 Bearbeiten von dynamischen und statischen Mitgliedern

  • Statisch: Neben der Einstellung von Kriterien für die dynamische Mitgliedschaft (LDAP-Filter) können Sie bestimmte Benutzer einbeziehen oder ausschließen.

    Sie können Mitglieder statisch einbeziehen, die den Kriterien des Filters nicht entsprechen. Außerdem können Sie Mitglieder ausschließen, die zwar die Kriterien des Filters erfüllen, aber nicht in die Berechtigungsrichtlinie einbezogen werden sollen.

6.7.2 Auswählen von Berechtigungen für eine Berechtigungsrichtlinie

Anhand von Berechtigungen können Sie den Zugriff auf Services auf verbundenen Systemen und auf Rechte im Identitätsdepot erteilen oder entziehen.

Von Ihnen installierte Treiber mit aktivierter Unterstützung für Berechtigungen enthalten eine Reihe von Berechtigungen, die Sie über eine Berechtigungsrichtlinie zuweisen können. Sie können auch eigene Berechtigungen erstellen, die in einer Berechtigungsrichtlinie verwendet werden. Die Berechtigungen, die der Treiber bereitstellen kann, sind untergeordnete Objekte des Treibers, die der Treiberentwickler erstellt, um die Möglichkeiten des Treibers und des verbundenen Systems zu repräsentieren.

Trustee-Rechte auf Objekte im Identitätsdepot werden Mitgliedern der Berechtigungsrichtlinie sofort erteilt. Berechtigungen für verbundene Systeme werden standardmäßig allen Mitgliedern der Berechtigungsrichtlinie erteilt, wenn das nächste Mal ein Attribut für die Mitgliedschaft in einer Berechtigungsrichtlinie geändert, ein Benutzer in einen anderen Container verschoben oder umbenannt wird.

Für verbundene Systeme können folgende Berechtigungen vergeben werden:

  • Konten
  • Mitgliedschaft in Email-Verteilerlisten
  • Gruppenmitgliedschaft in NOS-Listen
  • Attribute für die entsprechenden Objekte in verbundenen Systemen, die mit von Ihnen angegebenen Werten belegt sind
  • Andere individuell angepasste Berechtigungen

Konten auf verbundenen Systemen

Öffnen Sie zum Hinzufügen von Berechtigungen zu einer Berechtigungsrichtlinie die Seite „Berechtigungen“ und wählen Sie einen Treiber aus. Die vom Treiber bereitgestellten Berechtigungen werden eingeblendet.

Die folgende Abbildung zeigt beispielsweise zwei Arten von Berechtigungen, die ein GroupWise-Treiber bereitstellt. Beim ersten Eintrag in der Liste handelt es sich um ein GroupWise-Benutzerkonto.

Abbildung 6-3 Schnittstelle für das Definieren von Berechtigungen

Mitgliedschaft in Email-Verteilerlisten und NOS-Listen

Wählen Sie zum Zuweisen von Mitgliedschaften in Gruppen oder auf verbundenen Systemen in der Liste der vom Treiber bereitgestellten Berechtigungen die Mitgliedschaftsberechtigung aus.

Die folgende Abbildung zeigt ein Beispiel; in dem es sich beim zweiten Eintrag in der Liste um GroupWise-Verteilerlisten handelt.

Abbildung 6-4 Auswählen von GroupWise-Verteilerlisten

Wenn Sie in diesem Beispiel GroupWise-Verteilerlisten wählen, wird ein Abfragefenster eingeblendet, wie in der folgenden Abbildung gezeigt.

Abbildung 6-5 Abfrage für Berechtigungen

In der Schnittstelle „Berechtigungsrichtlinie“ können Sie die Liste der Email-Verteilerlisten oder NOS-Listen abfragen. Nach erfolgter Abfrage können Sie die gecachte Liste anzeigen.

Die Treiber sind so konfiguriert, dass die vollständige Liste ausgegeben wird, damit Sie eine Auswahl aus den Listen treffen können, die auf dem verbundenen System vorhanden sind.

HINWEIS:Ein Treiber kann auch so abgeändert werden, dass die Liste auf von Ihnen angegebene Gruppennamen beschränkt und nicht vollständig ausgegeben wird.

Attributwerte auf verbundenen Systemen

Sie können für Benutzerkonten auf verbundenen Systemen Attributwerte zuweisen. Geben Sie hierfür den Wert ein, den die Benutzerkonten erhalten sollen.

Die folgende Abbildung zeigt ein Beispiel für das Hinzufügen eines Attributwerts zu einem Notes-Attribut („Department“).

Abbildung 6-6 Hinzufügen eines Attributwerts