Identity Manager-Data Governance Edition
Die Radboud University konnte mit One Identity Manager die Sicherheit für über 40.000 Benutzer verbessern.
Daten-Governance-Lösung für volle Kontrolle über den Zugriff auf Ihre vertraulichen Daten
Identity Manager Data Governance Edition schützt Ihr Unternehmen effektiv: Mit unserer Lösung liegt die Kontrolle über die Zugriffssteuerung in Zukunft nicht mehr bei Ihrem IT-Team, sondern bei Ihnen, dem Geschäftsinhaber. Sie selbst können entscheiden, wer auf vertrauliche Daten zugreifen darf. Über die Identity Manager Funktion zur Zugriffseinschränkung lassen sich Zugriffsrichtlinien für Ihr Unternehmen definieren. Sie können alle Anfragen für Zugriff auf unstrukturierte Daten wie Dateien, Ordner und Freigaben in NTFS, auf NAS-Geräten oder in SharePoint analysieren, genehmigen und erfüllen und so sicherstellen, dass ausschließlich genehmigte Benutzer Zugriff auf vertrauliche unstrukturierte Daten haben. Durch die Automatisierung des Anfrage- und Genehmigungs-Workflows gewährleistet Identity Manager Sicherheit und entlastet Ihr IT-Team.
Funktionen
- Cloud-Governance:
Die Lösung unterstützt Microsoft SharePoint Online sowie OneDrive und ermöglicht so Cloud-Governance. Außerdem bietet sie Reporting-Funktionen zur Erstellung von Zugriffsberichten. - Datenklassifizierung:
Unter die Governance fallende Daten lassen sich manuell klassifizieren. Die Klassifizierungseinstellungen kann der Geschäftsinhaber im Webportal festlegen. Die Lösung bringt vordefinierte Richtlinien mit und berechnet Risikoniveaus auf Basis der zugewiesenen Klassifizierungsstufe. - Zugriffseinschränkung:
Über diese Funktion können Sie Zugriffsrichtlinien definieren, um sicherzustellen, dass ausschließlich genehmigte Benutzer Zugriff auf die vertraulichen unstrukturierten Daten Ihres Unternehmens haben. Auch eine Sperrung von vertraulichen Daten wie beispielsweise Dateien, Ordnern und Freigaben auf NAS-Geräten, in NTFS oder in SharePoint ist möglich. - Zuweisung von Dateneigentümern:
Mit unserer Lösung können Sie Nutzungsmuster sowie Lese- und Schreibzugriffe auswerten. So können Sie geeignete Eigentümer für spezifische Daten identifizieren und zuweisen, die dann über alle zukünftigen Zugriffsanfragen entscheiden. - Vereinfachte Überwachung:
Die Lösung erkennt Benutzerzugriffe auf Unternehmensressourcen wie Dateien, Ordner und Freigaben auf NAS-Geräten sowie in NTFS und SharePoint. Damit liefert sie Ihnen Schlüsselinformationen für eine effektive Vorbereitung auf Audits. - Automatisierte Zugriffsanfragen:
Zugriffsanfragen lassen sich über integrierte Workflows automatisch vom Anforderungsportal an den zuständigen Dateneigentümer weiterleiten. Da genehmigte Anfragen automatisch und korrekt erfüllt werden, entsteht Ihrem IT-Team keinerlei Aufwand. - Zugriffsüberprüfung:
Sie können Benutzer- und Ressourcenaktivitäten überwachen und einen zeitplanbasierten Rezertifizierungsprozess konfigurieren, über den Dateneigentümer Mitarbeiterzugriffe überprüfen und nachweisen können. Damit ist jederzeit gewährleistet, dass auf bestimmte Ressourcen ausschließlich genehmigte Benutzer Zugriff haben. - Personalisiertes Dashboard:
Die Lösung erlaubt die Einrichtung eines personalisierten Dashboards, auf dem Sie Trends, historische und aktuelle Datenzugriffsaktivitäten und den Nachweisstatus überblicken können. Auf Basis dieser Daten lassen sich dann Compliance-Berichte generieren.
Tour
Spezifikationen
Systemanforderungen
Stellen Sie vor der Installation von One Identity Manager sicher, dass Ihr System die folgenden Hardware- und System-Mindestanforderungen erfüllt.
Der Data Governance Server ist der Server, auf dem der Data Governance-Dienst installiert ist. Dieser Server muss die folgenden System-Mindestanforderungen erfüllen.
| Prozessor: |
|
| Arbeitsspeicher: |
|
| Freie Laufwerkkapazität: |
|
| Betriebssystem: | Windows 64-Bit-Betriebssysteme:
|
| Software: |
|
| Voraussetzung | Details |
| Prozessor | 16 Kerne mit 2,5 GHz oder mehr |
| Arbeitsspeicher |
Minimum 32 GB RAM HINWEIS: Zusätzlich zur Mindestanforderung von 16 GB RAM für One Identity Manager sind für die Data Governance Edition weitere 16 GB RAM erforderlich. |
| Freie Festplattenkapazität | Zusätzlich zur Mindestanforderung von 100 GB RAM für One Identity Manager sind für die Data Governance Edition weitere 30 GB RAM pro Millionen Ressourcen erforderlich. |
| Betriebssystem | Windows 64-Bit-Betriebssysteme:
HINWEIS: Die 64-Bit-Anforderung für die neueren Versionen von Windows Server gilt speziell für die Data Governance Edition. UNIX und Linux Betriebssysteme:
| Software | SQL Server Die folgenden Versionen werden unterstützt:
HINWEIS: Aus Leistungsgründen wird die SQL Server 2016 Enterprise Edition empfohlen.
|
| Kompatibilitätsstufe für Datenbanken |
|
| Standardsortierrreihenfolge |
HINWEIS: Für die Installation des On Identity Manager Schemas wird die Sortierreihenfolge "SQL_Latin1_General_CP1_CI_AS" erwartet und nach Bedarf für die Datenbank übernommen. |
Weitere Systemvoraussetzungen für die Implementierung einer Oracle Database:
| Voraussetzung | Details |
| Software | Oracle Database: Die folgenden Versionen werden unterstützt:
|
| Voraussetzung | Details |
| Prozessor: | Mindestens 500 MHz |
| Arbeitsspeicher: |
|
| Freie Festplattenkapazität: |
20 GB HINWEIS: Der Agent verwendet die benötigte Prozessor-, Speicher- und Festplattenkapazität für Scans, Datensynchronisierungen, Abfragen und Aktivitätsberichte. Wenn eine dieser Ressourcen nicht mehr in ausreichendem Maße zur Verfügung steht, kommt es zu unerwartetem Verhalten. |
| Betriebssysteme: | Windows Betriebssysteme:
HINWEIS: Neue Dynamic Access Control (DAC) Funktionen werden nicht unterstützt. HINWEIS:Wird ein Agent unter Windows Server 2012/2012 R2 installiert, deaktivieren Sie die lokale Richtlinie "Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen". HINWEIS:Auf Computern, die einen Agenten hosten, muss das Zertifikat "VeriSign Class 3 Public Primary Certification Authority - G5 cer." als vertrauenswürdige Stammzertifizierungsstelle installiert sein. |
| Software: | .NET Framework 4.5 oder höher .NET Framework 3.5.1 (SharePoin 2010 Agenten) HINWEIS: SharePoint 2010 Agenten erfordern .NET Framework 3.5.1. Alle anderen Windows Server Versionen und SharePoint 2013 Farmen, die als Agentenhost fungieren, erfordern .NET Framework 4.5 oder höher. |
One Identity Manager unterstützt die folgenden Datenbanksysteme:
| Voraussetzung | Details |
| Prozessor: | Quad-Core-Prozessor |
| Arbeitsspeicher: | 16 GB RAM |
| Freie Festplattenkapazität: | 100 GB |
One Identity Manager unterstützt die folgenden Datenbanksysteme:
| Ziel | Version | Zusätzliche Hinweise |
| Windows Server |
Die folgenden Windows Server Versionen können gescannt werden (als lokal oder remote verwalteter Host):
HINWEIS: Der Kapazitätsbedarf ist abhängig von der Konfiguration, der Anzahl an Dateien, Ordnern und Freigaben, die mit expliziten Berechtigungen gescannt werden, und dem verarbeiteten Aktivitätsvolumen. | Die Erfassung von Ressourcenaktivitäten wird auf remote verwalteten Windows Server Hosts nicht unterstützt. |
| Windows Cluster |
Die folgenden Failover-Cluster können gescannt werden (als remote verwalteter Host):
HINWEIS: Der Kapazitätsbedarf ist abhängig von der Konfiguration, der Anzahl an Dateien, Ordnern und Freigaben, die mit expliziten Berechtigungen gescannt werden, und dem verarbeiteten Aktivitätsvolumen. | Die Erfassung von Ressourcenaktivitäten wird auf Windows Clustern nicht unterstützt. |
| NetApp CIFS Geräte |
Die folgenden NetApp Filer Versionen (mit aktiviertem CIFS Dateisystemprotokoll) können gescannt werden (als remote verwalteter Host):
HINWEIS: Es werden sowohl der NetApp 7-Mode als auch der Cluster Mode unterstützt. HINWEIS: Der Kapazitätsbedarf ist abhängig von der Konfiguration, der Anzahl an Dateien, Ordnern und Freigaben, die mit expliziten Berechtigungen gescannt werden, und dem verarbeiteten Aktivitätsvolumen. | Die Nachverfolgung von Ressourcenaktivitäten und Sicherheitsaktualisierungen in Echtzeit werden für Versionen von ONTAP NetApp Filern vor 7.3 nicht unterstützt.
NetApp Speichergeräte erfordern zusätzliche Konfigurationsschritte. |
| NetApp NFS Geräte | Die folgenden NetApp Filer Versionen (mit aktiviertem NFS Dateisystemprotokoll) können gescannt werden (als remote verwalteter Host):
HINWEIS: Es werden sowohl der NetApp 7-Mode als auch der Cluster Mode unterstützt. HINWEIS: Der Kapazitätsbedarf ist abhängig von der Konfiguration, der Anzahl an Dateien, Ordnern und Freigaben, die mit expliziten Berechtigungen gescannt werden, und dem verarbeiteten Aktivitätsvolumen. | Verwaltete NFS Hosts erfordern die Installation des UNIX Moduls während des Installations- und Konfigurationsprozesses für One Identity Manager. Für verwaltete Hosts im NetApp 7-Mode erfordern Sichheitsupdates und die Erfassung von Ressourcenaktivitäten FPolicy Richtlinien, und für die Verwendung von FPolicy Richtlinien muss CIFS installiert sein und ausgeführt werden. NetApp Speichergeräte erfordern zusätzliche Konfigurationsschritte. |
| EMC CIFS Geräte | Die folgenden EMC Geräte können gescannt werden (als remote verwalteter Host):
Die folgenden EMC Framework Versionen (mit aktiviertem CIFS Dateisystemprotokoll) können gescannt werden (als remote verwalteter Host):
HINWEIS: Der Kapazitätsbedarf ist abhängig von der Konfiguration, der Anzahl an Dateien, Ordnern und Freigaben, die mit expliziten Berechtigungen gescannt werden, und dem verarbeiteten Aktivitätsvolumen. | VNXe wird nicht unterstützt. VNXe bietet derzeit keine Unterstützung für CEPA, daher kann die Data Governance Edition in VNXe Umgebungen nicht ausgeführt werden. EMC Speichergeräte erfordern zusätzliche Konfigurationsschritte. |
| EMC Isilon NFS Geräte | Die folgenden EMC Isilon Geräte (mit aktiviertem NFS Dateisystemprotokoll) können gescannt werden (als remote verwalteter Host):
HINWEIS: Der Kapazitätsbedarf ist abhängig von der Konfiguration, der Anzahl an Dateien, Ordnern und Freigaben, die mit expliziten Berechtigungen gescannt werden, und dem verarbeiteten Aktivitätsvolumen. | Verwaltete NFS Hosts erfordern die Installation des UNIX Moduls während des Installations- und Konfigurationsprozesses für One Identity Manager. Die Erfassung von Ressourcenaktivitäten wird auf verwalteten EMC Isilon NFS Hosts nicht unterstützt. EMC Speichergeräte erfordern zusätzliche Konfigurationsschritte. |
| SharePoint | Die folgenden SharePoint Versionen können gescannt werden (als lokal verwalteter Host):
Auf dem SharePoint Agentencomputer müssen 100 GB Festplattenplatz für die Datenspeicherung und das Scannen von Post-Processing-Aktivitäten verfügbar sein. HINWEIS: Wie viel Speicherplatz benötigt wird, hängt von der Anzahl von Webseiten, Listen und Dokumentbibliotheken sowie der Anzahl eindeutiger Berechtigungen ab, die aus der Farm erfasst werden. Der SharePoint Agentencomputer benötigt 8 GB RAM. | Der Agent wird installiert, wo der One Identity Manager Dienst (Auftragsserver) für die SharePoint Farm ausgeführt wird. Wir empfehlen, den One Identity Manager Dienst auf einem speziellen SharePoint 2010/2013 Application Server in der Farm zu installieren und nicht auf einem Web Front Server, wodurch weitere Verarbeitungslasten auf diesem Server nicht möglich werden. Eigenständige Farmen werden nicht unterstützt. Ebenso werden keine Farmen unterstützt, die ausschließlich mit lokalen Benutzern und Gruppen konfiguriert sind. |
| Cloud | Die folgenden Cloud-Provider (auf Office 365) können gescannt werden (als remote verwalteter Host):
| Die Erfassung von Ressourcenaktivitäten wird für in der Cloud verwaltete Hosts nicht unterstützt. Die Unterstützung von OneDrive for Business ist auf den Dokumentenordner für das Administrator-Konto beschränkt. Daher werden alle verwalteten Pfade im Rahmen des Dokumentenordern des Administrators verwaltet. |
| DFS-Stamm | Windows 2008 Active Directory DFS und höher | |
Die folgenden Tabelle enthält die für die richtige Bereitstellung der Data Governance Edition benötigten Berechtigungen.
| Konto | Berechtigung |
| System-Benutzer (Active Directory Konto beim Computer angemeldet) UND Manager-Benutzer (Active Directory Konto, auf dem der Manager läuft) | Dem Konto muss ein One Identity Manager Benutzer zugeordnet sein. Dem Benutzer muss die Anwendungsrolle "Data Governance/Administrators" oder die Anwendungsrolle "Data Governance/Access Managers" zugewiesen sein. HINWEIS: Wenn dem System-Benutzer nicht die entsprechenden Rollen zugewiesen sind, sehen Sie im Manager zwar die Data Governance Edition Funktionen, erhalten aber Fehler, wenn Sie Data Governance Edition Aufgaben ausführen. Wenn dem Manager nicht die entsprechenden Rollen zugewiesen sind, sehen Sie im Manager die Data Governance Edition Funktionen nicht. |
| Dienstkonto, das einer verwalteten Domäne zugewiesen ist | Anmeldung auf dem Data Governance Server als lokaler Benutzer mit Dienstberechtigungen. Das Konto muss lokale Administratorrechte auf den Data Governance Agentencomputern haben. HINWEIS: Falls nach der Erteilung lokaler Administratorrechte Fehlermeldungen angezeigt werden, sollten Sie sich zunächst von dem Computer abmelden, auf dem die lokalen Administratorrechte erteilt wurden. Melden Sie sich anschließend wieder an. Wenn das Dienstkonto kein Mitglied der Gruppe "Domänenbenutzer" ist, sind zusätzliche Rechte erforderlich. (Beispiel: Ein Benutzerkonto aus Domäne A wird zur Verwaltung der vertrauenswürdigen Domäne B verwendet.) |
| SQL Dienstkonto zur Anbindung an die Data Governance Datenbank für Ressourcenaktivitäten | Zur Erstellung der Datenbank während der Erstkonfiguration der Data Governance Edition ist die Serverrolle "dbcreator" erforderlich. Zur Nutzung der Datenbank ist die Rolle "db_owner" erforderlich. |
| SQL Dienstkonto zur Anbindung an die One Identity Manager Datenbank | Dem Konto muss die Rolle "db_owner" für die One Identity Manager Datenbank zugewiesen sein. |
| Dienstkonto für einen Agenten auf lokal verwalteten Windows Hosts | Der Agent wird unter dem lokalen Systemkonto ausgeführt. Es sind keine weiteren Rechte erforderlich. |
| Dienstkonto für einen Agenten, der remote verwaltete Windows Hosts verwaltet | Es sind lokale Administratorrechte auf dem verwalteten Host erforderlich. HINWEIS: Falls nach der Erteilung lokaler Administratorrechte Fehlermeldungen angezeigt werden, sollten Sie sich zunächst von dem Computer abmelden, auf dem die lokalen Administratorrechte erteilt wurden. Melden Sie sich anschließend wieder an. Das Konto muss auf dem Agentencomputer lokale Benutzerrechte zur Anmeldung als Dienst haben. (Diese Rechte werden automatisch bei der Bereitstellung des Agenten erteilt.) |
| Dienstkonto für einen Agenten, der SharePoint Farmen verwaltet | Das Konto muss das SharePoint Farmkonto sein (d. h. das Konto, unter dem der SharePoint Zeitgeberdienst und der One Identity Manager Dienst [Auftragsserver] ausgeführt werden). Dieses Konto muss außerdem Mitglied der Administratorengruppe auf dem SharePoint Server sein. Das Konto muss auf dem Agentencomputer lokale Benutzerrechte zur Anmeldung als Dienst haben. (Diese Rechte werden automatisch bei der Bereitstellung des Agenten erteilt.) |
| Dienstkonto für einen Agenten, der NetApp® Filer verwaltet | Das Konto muss auf dem Agentencomputer lokale Benutzerrechte zur Anmeldung als Dienst haben. (Diese Rechte werden automatisch bei der Bereitstellung des Agenten erteilt.) Das Konto muss Mitglied der Administratorengruppe auf dem NetApp Filer sein, um FPolicy Richtlinien erstellen zu können. Das Konto muss auf die Ordner zugreifen dürfen, die gescannt werden. |
| Dienstkonto für einen Agenten, der EMC Isilon Speichergeräte verwaltet | Das Konto muss auf dem Agentencomputer lokale Benutzerrechte zur Anmeldung als Dienst haben. (Diese Rechte werden automatisch bei der Bereitstellung des Agenten erteilt.) Auf der Isilon SMB Freigabe, die als verwaltetet Pfad ausgewählt wurde, müssen Berechtigungen für die Ausführung als Stamm vorhanden sein. |
| One Identity Manager Dienstkonto (Auftragsserver), das zur zeitplanbasierten Erstellung von Data Governance Edition Berichten verwendet wird | Dem Konto muss ein One Identity Manager Benutzer zugeordnet sein. Dem Benutzer muss die Anwendungsrolle "Data Governance/Administrators" oder die Anwendungsrolle "Data Governance/Access Managers" zugewiesen sein. |
| Active Directory Konto, das von AppServer zum Aufbau einer Verbindung zwischen dem Data Governance Server und Identity Manager verwendet wird | Dem Konto muss ein One Identity Manager Benutzer zugeordnet sein. Dem Benutzer müssen die Anwendungsrollen "Data Governance/Administrators" und "Data Governance/Access Managers" zugewiesen sein. HINWEIS:Dieses Konto muss in Internet Information Services (IIS) Manager als AppServer Pool-Identität hinzugefügt werden. Wenn für den AppServer Anwendungspool die Standardidentität "Network Security" festgelegt ist, können keine Data Governance Edition Berichte generiert werden. |
| Weitere Informationen zur Erteilung von Berechtigungen finden Sie im Bereitstellungshandbuch für One Identity Manager Data Governance Edition. | |
| Port | Richtung | [Description] |
| 8721 | Eingehend | Auf dem Data Governance Servercomputer geöffneter TCP-Port (HTTP). Dies ist der Basisport für die Data Governance REST API, der für die REST-Dienste des Data Governance Servers verwendet wird, einschließlich der One Identity Manager Clients und Windows PowerShell. |
| 8722 | Eingehend | Auf dem Data Governance Servercomputer geöffneter TCP-Port (net.tcp), der für die Kommunikation mit Data Governance Agenten, One Identity Manager Clients und dem One Identity Manager Web-Server verwendet wird. HINWEIS: Der net.tcp-Port lässt sich im Data Governance Konfigurationsassistenten konfigurieren. Der oben angegebene HTTP-Port (8721) sollte immer die nächst niedrigere Nummer verglichen mit dem net.tcp-Port haben. Diese ersten beiden Ports entsprechen den Basisadressen in der Datei "Dell.DataGovernanceEdition.Service.exe.config" unter dem Dienst "IndexServerHost". Wir empfehlen Ihnen dringend, diesen Port ausschließlich mithilfe des Data Governance Konfigurationsassistenten zu ändern. Nur so ist sichergestellt, dass die Konfigurationsdatei, die One Identity Manager Datenbank und die Dienstverbindungspunkte korrekt aktualisiert werden. Andernfalls bricht möglicherweise die Verbindung mit Identity Manager, dem Data Governance Dienst und/oder den Data Governance Agenten ab. WICHTIG: Verwenden Sie den Designer NICHT, um die QAMServer Konfigurationsparameter zu ändern. Dies gilt auch für die Portparameter. |
| 8723 | Eingehend | HTTP Port für die Kommunikation mit dem One Identity Manager Webserver (/landing und /home pages). |
| 18530 bis 18630 | Eingehend | Auf allen Agentencomputern geöffneter TCP-Portbereich, Verwendet für die Kommunikation mit dem Data Governance Server (Der erste Agent auf einem Agentenhost verwendet Port 18530. Jeder weitere auf demselben Host installierte Agent verwendet den jeweils nächsten verfügbaren Port, also 18531, 18532 usw.). Außerdem wird dieser Bereich für das Öffnen eines TCP Listeners für NetApp Cluster Mode Hosts verwendet, wenn die Erfassung von Ressourcenaktivitäten aktiviert ist. |
Ressourcen
Identity Manager Data Governance Edition
Optimierte Verwaltung von Benutzeridentitäten, privilegiertem Zugriff und Sicherheit
Top ten reasons to achieve Data Access Governance
It’s time to let a secure Data Governance strategy protect your sensitive data and reduce risk.
Optimieren Sie Identitäts-, Zugriffs- und Daten-Governance durch Automatisierung und Zugriffskontrolle
Die Reihe der Identity Manager-Lösungen ermöglicht Ihnen die Wahl desjenigen Produkts, das die besonderen Anforderungen der Zugriffsverwaltung in Ihrer Organisation am besten erfüllt.
How to Achieve HIPAA Security Compliance with Identity Governance and Access Management
In this paper, you’ll learn about IT security compliance for the Health Insurance Portability and Accountability Act (HIPAA) from an auditor’s perspective.
Six Steps to Achieving Data Access Governance
Organizations know that controlling access to data is vital: security breaches, mistakes and leaks of sensitive enterprise data can lead to loss of intellectual property (IP), system downtime, frustrated users, lost productivity, fines for failing to comp
Radboud University cuts enrollment time by 50 percent
University is able to quickly respond to changing laws and new technologies while ensuring that users have only the access they need using self-serve options with Identity Manager.
The fundamentals How to surpass Payment Card Industry (PCI) data security standard (DSS) compliance with Identity governance and Access management
In this paper, you’ll learn about IT security compliance for the Payment Card Industry Data Security Standard (PCI DSS) from an auditor’s perspective.
Sicherheit beginnt hier – Identity Governance und Administration
Sieben einfache, grundlegende Änderungen für Effizienz und Sicherheit
- Weitere Ressourcen
- Communitys
- Weiterführende Dokumente
- Erfahrungsberichte von Kunden
Nächster Schritt
Zugehörige Elemente
Identity Manager
Optimierte Verwaltung von Benutzeridentitäten, privilegiertem Zugriff und Sicherheit
Auszeichnungen von Analysten und Berichte
Branchenanalysten haben aktuelle IAM-Lösungen evaluiert und ein klares Urteil gefällt: One Identity Lösungen sind ...
Support und Services
Produkt-Support
Unsere Self-Service-Tools helfen Ihnen bei der Installation und Konfiguration Ihres Produkts sowie bei der Fehlerbehebung.
Support-Angebote
Finden Sie jetzt die richtige Support-Stufe für die individuellen Anforderungen Ihrer Organisation!
Dienstleistungen
Durchsuchen Sie unsere breite Palette an Service-Angeboten. Unsere Services können entweder vor Ort oder remote bereitgestellt werden, ganz nach Ihren individuellen Anforderungen.
Schulungen und Zertifizierung
Wir bieten webbasierte Onlineschulungen sowie Schulungen vor Ort und virtuelle Schulungen mit Kursleiter.