Sie können Gruppen erstellen, Mitglieder zu Gruppen hinzufügen und Gruppenregeln erstellen. Sie können dann die Gruppen auf Grundlage der von Ihnen definierten Regeln auffüllen.
Verwenden Sie Gruppen, um gleichzeitig mehreren Benutzern die Berechtigungen für dieselben Ressourcen zu erteilen, anstatt jedem Benutzer die Berechtigung einzeln zu erteilen. Ein Benutzer kann mehreren Gruppen angehören. Wenn Sie beispielsweise die Gruppen „Vertrieb“ und „Geschäftsführung“ erstellen, kann der Vertriebsleiter beiden Gruppen angehören.
Sie können festlegen, welche Richtlinieneinstellungen auf die Mitglieder einer Gruppe angewendet werden. Die Benutzer in Gruppen werden durch die Regeln definiert, die Sie für ein Benutzerattribut festlegen. Wenn sich der Attributwert eines Benutzers gegenüber dem in der Gruppenregel definierten Wert ändert, wird der Benutzer aus der Gruppe entfernt.
Prozedur
- Klicken Sie auf der Registerkarte „Benutzer und Gruppen“ der VMware Identity Manager-Konsole auf Gruppen.
- Klicken Sie auf Gruppe hinzufügen.
- Geben Sie einen Gruppennamen und eine Beschreibung der Gruppe ein. Klicken Sie auf Weiter.
- Fügen Sie Benutzer zur Gruppe hinzu. Um Benutzer zu der Gruppe hinzuzufügen, geben Sie einige Buchstaben des Benutzernamens ein. Wenn Sie Text eingeben, werden übereinstimmende Namen angezeigt.
- Wählen Sie den Benutzernamen aus und klicken Sie auf +Benutzer hinzufügen.
Fügen Sie weitere Benutzer zur Gruppe hinzu.
- Nachdem die gewünschten Benutzer zu der Gruppe hinzugefügt wurden, klicken Sie auf Weiter.
- Wählen Sie auf der Seite „Gruppenregeln“ aus, wie die Gruppenmitgliedschaft gewährt wird. Im Dropdown-Menü können Sie zwischen der Option Eine oder Alle wählen.
Option |
Aktion |
Jede |
Gewährt die Gruppenmitgliedschaft, wenn mindestens eine der Voraussetzungen für die Gruppenmitgliedschaft erfüllt ist. Diese Aktion funktioniert wie eine ODER-Bedingung. Wenn Sie beispielsweise eine der folgenden Optionen für die Regeln Gruppe ist Vertrieb und Gruppe ist Marketing auswählen, wird sowohl Vertriebs- als auch Marketing-Mitarbeitern die Mitgliedschaft in dieser Gruppe gewährt. |
Alle |
Gewährt die Gruppenmitgliedschaft, wenn alle Voraussetzungen für die Gruppenmitgliedschaft erfüllt sind. Die Option „Alle“ funktioniert wie eine UND-Bedingung. Wenn Sie beispielsweise Alle der folgenden Optionen für die Regeln Gruppe ist Vertrieb und E-Mail beginnt mit ‚western_region‘ auswählen, wird nur Vertriebsmitarbeitern in der Region West die Mitgliedschaft in dieser Gruppe gewährt. Vertriebsmitarbeitern aus anderen Regionen wird die Mitgliedschaft in dieser Gruppe nicht gewährt. |
- Konfigurieren Sie eine oder mehrere Regeln für Ihre Gruppe. Sie können Regeln verschachteln.
Option |
Beschreibung |
Attribut |
Wählen Sie eines dieser Attribute aus dem Dropdown-Menü der ersten Spalte. Wählen Sie „Gruppe“, um eine vorhandene Gruppe zu der von Ihnen gerade erstellten Gruppe hinzuzufügen. Sie können andere Attributtypen hinzufügen, um festzulegen, welche Benutzer in den Gruppen Mitglieder in der von Ihnen erstellten Gruppe sind. |
Attributregeln |
Die folgenden Regeln sind je nach ausgewähltem Attribut verfügbar.
Wählen Sie Ist, um eine Gruppe bzw. ein Verzeichnis auszuwählen, die bzw. das dieser Gruppe zugeordnet werden soll. Geben Sie in das Textfeld einen Namen ein. Bei der Eingabe wird eine Liste der verfügbaren Gruppen bzw. Verzeichnisse angezeigt.
Wählen Sie Ist nicht, um eine Gruppe bzw. ein Verzeichnis auszuwählen, die bzw. das ausgeschlossen werden soll. Geben Sie in das Textfeld einen Namen ein. Bei der Eingabe wird eine Liste der verfügbaren Gruppen bzw. Verzeichnisse angezeigt.
Wählen Sie Entspricht, um Einträgen, die mit den von Ihnen eingegebenen Kriterien genau übereinstimmen, die Gruppenmitgliedschaft zu gewähren. Beispiel: Ihre Organisation hat möglicherweise eine Abteilung für Geschäftsreisen, bei der alle Mitarbeiter eine zentrale Telefonnummer teilen. Wenn Sie allen Mitarbeitern, die diese Telefonnummer teilen, den Zugriff auf eine Reisebuchungsanwendung gewähren möchten, können Sie eine Regel erstellen, z. B. „Telefon entspricht (555) 555-1000“.
Wählen Sie Entspricht nicht, um allen Verzeichnisservereinträgen mit Ausnahme der Einträge, die mit den von Ihnen eingegebenen Kriterien übereinstimmen, die Gruppenmitgliedschaft zu gewähren. Wenn beispielsweise alle Mitarbeiter einer Abteilung eine Telefonnummer teilen, können Sie für die Abteilung den Zugriff auf eine Social Network-Anwendung sperren, indem Sie eine Regel erstellen, z. B. „Telefon entspricht nicht (555) 555-2000“. Verzeichnisservereinträge mit anderen Telefonnummern können auf die Anwendung zugreifen.
Wählen Sie Beginnt mit, um Verzeichnisservereinträgen, die mit den von Ihnen eingegebenen Kriterien beginnen, die Gruppenmitgliedschaft zu gewähren. Beispiel: Die E-Mail-Adressen Ihrer Organisation beginnen mit dem Abteilungsnamen, z. B. [email protected]. Wenn Sie allen Mitarbeitern des Vertriebs den Zugriff auf eine Anwendung gewähren möchten, können Sie eine Regel erstellen, z. B. „E-Mail beginnt mit vertrieb_“.
Wählen Sie Beginnt nicht mit, um allen Verzeichnisservereinträgen mit Ausnahme der Einträge, die mit den von Ihnen eingegebenen Kriterien beginnen, die Gruppenmitgliedschaft zu gewähren. Beispiel: Die E-Mail-Adressen der Personalabteilung weisen das Muster „[email protected]“ auf. Sie können den Zugriff auf eine Anwendung sperren, indem Sie eine Regel einrichten, z. B. „E-Mail beginnt nicht mit hr_“. Verzeichnisservereinträge mit anderen E-Mail-Adressen können auf die Anwendung zugreifen.
|
Verwenden des Attributs „Eine“ oder „Alle“ |
(Optional) Um die Attribute „Eine“ oder „Alle“ in die Gruppenregel einzubeziehen, fügen Sie diese Regel am Ende hinzu.
Wählen Sie Eine: Die Gruppenmitgliedschaft wird gewährt, wenn für diese Regel mindestens eine der Voraussetzungen für die Gruppenmitgliedschaft erfüllt ist. Die Verwendung von „Eine“ ist eine Möglichkeit, Regeln zu verschachteln. Beispiel: Sie können eine Regel erstellen, bei der alle folgenden Bedingungen erfüllt werden müssen: Gruppe ist Vertrieb; Gruppe ist Kalifornien. Für „Gruppe ist Kalifornien“, eine der folgenden Bedingungen: Telefon beginnt mit 415; Telefon beginnt mit 510. Das Gruppenmitglied muss Mitarbeiter des Vertriebs in Kalifornien sein und seine Telefonnummer muss mit 415 oder 510 beginnen.
Wählen Sie Alle für alle Bedingungen, die für diese Regel erfüllt werden müssen. Dies ist eine Möglichkeit, Regeln zu verschachteln. Sie können beispielsweise eine Regel erstellen, für die mindestens eine der folgenden Bedingungen erfüllt werden muss: Gruppe ist Manager; Gruppe ist Kundendienst. Für „Gruppe ist Kundendienst“ alle folgenden Bedingungen: E-Mail beginnt mit „cs_“, Telefon beginnt mit „555“. Die Gruppenmitglieder können entweder Manager oder Kundendienstmitarbeiter sein, dabei müssen jedoch die Kundendienstmitarbeiter eine E-Mail-Adresse haben, die mit „cs_“, und eine Telefonnummer, die mit „555“ beginnt.
|
- (Optional) Um bestimmte Benutzer auszuschließen, geben Sie einen Benutzernamen in das Textfeld ein und klicken Sie auf Benutzer ausschließen.
- Klicken Sie auf Weiter und überprüfen Sie die Gruppeninformationen. Klicken Sie auf Gruppe erstellen.
Nächste Maßnahme
Fügen Sie die Ressourcen hinzu, zu deren Benutzung die Gruppe berechtigt ist.