Regeln und Einschränkungen für globale Karteninhaberverwaltung - Security Center 5.10

Security Center – Administratorhandbuch 5.10

series
Security Center 5.10
revised_modified
2021-03-19
category_custom
Handbücher
Handbücher > Administrator-Handbücher

Bevor Sie beginnen, Karteninhaber global zu verwalten, lesen Sie bitte, welche Regeln beim Verwenden der globalen Karteninhaberverwaltung gelten.

Regeln für lokale und globale Partitionen

  • Ein freigebender Gast kann nicht mehr als einen Gastgeber haben. Es ist nur eine einzige Instanz der GCS-Rolle pro System zulässig.
  • Eine globale Partition kann auf einem freigebenden Gast nicht geändert werden, die Mitglieder können dies jedoch tun. Was der freigebende Gast tatsächlich ändern kann, ist von den Rechten der Benutzer abhängig, die der GCS-Rolle zugeordnet sind.
  • Kein System darf Elemente freigeben, die es nicht besitzt. Freigeben auf Ebene zwei ist nicht zulässig. Diese Regel hat zur Folge, dass eine lokale Partition nicht in eine globale Partition konvertiert werden kann, wenn sie globale Entitäten enthält, es sei denn, dies wird auf dem Gastgebersystem durchgeführt.
  • Wird eine lokale Entität einer globalen Partition hinzugefügt, geht der Besitz dieser Entität vom lokalen Besitzer (freigebender Gast) auf den Partitionsbesitzer (freigebender Gastgeber) über.
  • Wird eine globale Entität auf einem freigebenden Gast gelöscht, verursacht dies auch die Löschung auf dem freigebenden Gastgeber, es sei denn, diese Entität gehört noch einer anderen globalen Partition an. In diesem Fall wird lediglich deren Mitgliedschaft auf der ersten Partition entfernt.

Regeln für lokale und globale Entitäten

  • Eine Entität ist dann global, wenn sie einer globalen Partition angehört. Dies bedeutet: Ein Karteninhaber wird nicht automatisch global, nur weil dessen Stamm-Karteninhabergruppe global ist.
  • Lokale Zutrittsregeln können für lokale und globale Karteninhaber gleichermaßen gelten. Zutrittsregeln werden nie geteilt. Dies stellt sicher, dass lokale Administratoren stets die volle Kontrolle über die Sicherheit ihrer Einrichtungen vor Ort haben.
  • Globale Karteninhaber und Gruppen können Mitglieder in lokalen Karteninhabergruppen werden.
  • Lokale Karteninhaber und Gruppen können Mitglieder in globalen Karteninhabergruppen werden. Eine Ausnahme dieser Regel ist, wenn beide Entitäten dem gleichen System angehören. In diesem Fall können die lokalen Karteninhaber nicht mit anderen geteilt werden, obwohl dies für die Karteninhabergruppe möglich ist.
  • Sowohl globale als auch lokale Berechtigungen können globalen Karteninhabern zugeordnet werden.
  • Globale Berechtigungen können keinen lokalen Karteninhabern zugeordnet werden.
  • Globale Berechtigungen, für die kundenspezifische Kartenformate eingesetzt werden, können auf dem Sharing-Gast genutzt und bearbeitet werden. Die Berechtigungsdaten sind jedoch nur dann sichtbar, wenn das entsprechende kundenspezifische Kartenformat (XML-Datei) mithilfe des Tools Editor für kundenspezifisches Kartenformat auch auf dem freigebenden Gast definiert ist.
BEST-PRACTICE: Es wird empfohlen, Zutrittsregeln immer an Karteninhabergruppen zuzuweisen, anstatt an die einzelnen Karteninhaber. Daher sollten Karteninhaber immer gemeinsam mit deren Stamm-Karteninhabergruppen geteilt werden. Sollte dies nicht möglich sein, empfehlen wir Ihnen, eine lokale Karteninhabergruppe für die globalen Karteninhaber anzulegen.

Regeln für globale benutzerdefinierte Felder und Datentypen

  • Benutzerdefinierte Felder und Datentypen, die für globale Entitäten definiert wurden, werden automatisch geteilt, wenn die globalen Entitäten geteilt werden.
  • Globale benutzerdefinierte Feld- und Datentypdefinitionen können auf dem Sharing-Gast nicht geändert werden.
  • Globale und lokale benutzerdefinierte Felder bleiben getrennt. Die Unterscheidung erfolgt durch deren Besitzer: das System, das sie definiert.
  • Definitionen für globale und lokale benutzerdefinierte Feld- und Datentypen können nicht den gleichen Namen haben.
  • Globale Datentypen können nicht verwendet werden, um lokale benutzerdefinierte Felder zu definieren.
  • Benutzerdefinierte Feldwerte von globalen Entitäten können auf freigebenden Gästen geändert werden.
  • Globale benutzerdefinierte Felder gelten auch für lokale Entitäten, deren Werte verbleiben jedoch lokal.
  • Lokale benutzerdefinierte Felder gelten auch für globale Entitäten, deren Werte verbleiben jedoch lokal.
  • Wenn ein Gastsystem das Teilen einer globalen Partition beendet, werden alle lokalen Kopien der geteilten globalen Entitäten und die benutzerdefinierten Feldwerte der lokalen Entitäten gelöscht.
BEST-PRACTICE: Wenn Sie in Ihrem Unternehmen eine globale Karteninhaberverwaltung einführen möchten, empfehlen wir Ihnen, alle benutzerdefinierten Felder und Datentypen für globale Entitäten auf dem freigebenden Gastgeber zu definieren.

Regeln für Federation™ und globale Entitäten

  • Wenn ein freigebender Gastgeber auch seinen freigebenden Gast in eine Föderation integriert, werden nur die lokalen Entitäten föderiert, die zu dem freigebenden Gast gehören. Gemeinsam genutzte Entitäten werden nicht auf dem freigebenden Gast föderiert.
  • Wenn der freigebende Gastgeber gleichzeitig ein Federation™-Gastgeber ist, sollten die Entitäten in dessen Föderation nicht durch Hinzufügen zu einer globalen Partition geteilt werden, da er die föderierten Entitäten nicht besitzt. Eine Entität kann nur durch ihren rechtmäßigen Eigentümer freigegeben werden. Um föderierte Entitäten freigeben zu können, muss das föderierte System ein freigebender Gast des Federation™-Gastgebers sein. Dies gibt dem Federation™-Gastgeber das Recht, föderierte Entitäten zu teilen.
  • Ein freigebender Gast, der ein drittes System verbindet, kann seine föderierten Entitäten nicht mit dem freigebenden Gastgeber teilen, da er nicht deren Besitzer ist.
  • Wenn ein freigebender Gast über ein anderes System föderiert ist, werden sowohl dessen lokale als auch globale Entitäten als föderierte Entitäten auf dem Federation™-Gastgeber angezeigt.

Regeln für Active Directory und globale Entitäten

  • Karteninhaber und Karteninhabergruppen die aus einem Active Directory importiert wurden, können auf dem freigebenden Gastgeber einer globalen Partition hinzugefügt werden.
  • Karteninhaber und Karteninhabergruppen, die von einem lokalen Active Directory des freigebenden Gasts importiert wurden, können keiner globalen Partition hinzugefügt werden, da das Active Directory und der freigebende Gastgeber nicht beide Besitzer der geteilten Karteninhaber sein können.
  • Globale Karteninhaber und Karteninhabergruppen, die aus einem Active Directory importiert wurden, können nur über den Verzeichnisdienst geändert werden, der sie besitzt.
ACHTUNG:
Obwohl es möglich ist, auf dem freigebenden Gast globale Karteninhaber und Karteninhabergruppen zu ändern, die aus einem Active Directory importiert wurden, sind diese Änderungen nur temporär. Sie gehen verloren, wenn der freigebende Gastgeber mit dem Active Directory synchronisiert wird.
BEST-PRACTICE: Wenn alle Dateneingaben der Karteninhaber zusammengefasst werden sollen, sollte das System, das Karteninhaber aus dem Active Directory des Unternehmens importiert, als freigebender Gastgeber eingerichtet werden und alle Änderungen mithilfe des Verzeichnisdienstes erfolgen.