Eigentümererstellung
Was Regeln zur Eigentümererstellung bewirken
Regeln zur Eigentümererstellung bestimmen, ob ein neuer Eigentümer automatisch erstellt werden soll, wenn ein Konto keinem bestehenden Eigentümer zugeordnet werden kann. Ohne Erstellungsregeln bleiben nicht zugeordnete Konten verwaist, bis sie manuell bearbeitet werden. Erstellungsregeln arbeiten mit den Regeln zur Kontozuordnung zusammen: Zuordnungsregeln versuchen zuerst, Konten bestehenden Eigentümern zuzuordnen, und Erstellungsregeln verarbeiten den Rest.
Die Regeln zur Eigentümererstellung ermöglichen es Benutzern zu konfigurieren, wie neue Eigentümer automatisch aus einem oder mehreren übereinstimmenden Konten erstellt werden. Wenn ein Konto keinem bestehenden Eigentümer zugeordnet werden kann, bestimmen die Erstellungsregeln, ob ein neuer Eigentümer erstellt werden soll, dem das Konto zugeordnet werden kann.
![Reiter „Eigentümererstellung"](/images/discover/config/identify/owner-creation.png "Reiter „Eigentümererstellung"")
Um die Tabellenansicht zu filtern, verwenden Sie die Kontrollkästchen zum Aktivieren/Deaktivieren von Anzeigeoptionen, wie
- Standardregeln: Dies sind die standardmäßigen Regeln von Hydden. Sie können angezeigt, aber nicht bearbeitet werden.
- Benutzerdefinierte Regeln: Dies sind Regeln, die in Ihrem Mandanten erstellt wurden.
Verwenden Sie die Suche, um die Ansicht auf einen bestimmten Kontext einzugrenzen.
Erstellungsoptionsmodi
Bei der Konfiguration der Eigentümererstellung stehen drei Modi zur Verfügung:
| Modus | Wert | Beschreibung |
|---|---|---|
| Immer | 1 | Immer einen neuen Eigentümer erstellen, wenn keine Übereinstimmung gefunden wird und die Regelkriterien erfüllt sind |
| Wenn zugeordnet | 2 | Nur einen neuen Eigentümer erstellen, wenn das Konto bereits durch eine Zuordnungsregel zugeordnet wurde |
| IGA | 3 | Eigentümererstellung an ein Identity Governance & Administration (IGA)-System delegieren |
Datenbefüllung nach Quelle
Wenn ein neuer Eigentümer aus einem Konto erstellt wird, befüllt Hydden die Eigentümerfelder aus den Quelldaten des Kontos. Die verfügbaren Felder variieren je nach Plattform:
| Eigentümerfeld | Azure AD | Active Directory / LDAP | Okta |
|---|---|---|---|
| Anzeigename | displayName | displayName | profile.displayName |
| profile.email | |||
| Titel | jobTitle | TITLE | profile.title |
| Abteilung | department | DEPARTMENT | profile.department |
| Vorgesetzter | manager | manager | profile.manager |
| Standort | usageLocation | — | profile.city |
| Telefon | businessPhones | telephoneNumber | profile.primaryPhone |
| Mobil | mobilePhone | mobile | profile.mobilePhone |
| Startdatum | employeeHireDate | — | — |
NOTE
Das Flag initFromAccount muss für die Datenquelle aktiviert sein, damit Eigentümerfelder automatisch aus Kontodaten befüllt werden.
Regelpriorisierungsstrategie
Regelreihenfolge
Erstellungsregeln werden in Prioritätsreihenfolge ausgewertet (niedrigste Zahl = höchste Priorität). Wenn mehrere Erstellungsregeln auf ein Konto zutreffen könnten, wird nur die erste übereinstimmende Regel angewendet.
- Platzieren Sie die spezifischsten Regeln (mit Kontotyp, Klassifizierung und E-Mail-Anforderungen) auf der höchsten Priorität
- Platzieren Sie breitere Auffangregeln auf niedrigerer Priorität
- Verwenden Sie die Funktion Preview, um das Regelverhalten vor der Aktivierung zu überprüfen
Erstellen einer Regel zur Eigentümererstellung
Zweck: Kriterien für die automatische Erstellung neuer Eigentümer aus nicht zugeordneten Konten definieren.
Navigieren Sie zu Configuration | Identify und wählen Sie den Reiter Owner Creation.
Klicken Sie auf + Add Rule.
![Seite „Benutzerdefinierte Regel zur Eigentümererstellung hinzufügen"](/images/discover/config/identify/owner-creation.png "Seite „Benutzerdefinierte Regel zur Eigentümererstellung hinzufügen"")
Geben Sie die Rule Priority an. Eine niedrigere Zahl gibt eine höhere Priorität in der Auswertungsreihenfolge an. Standardmäßig öffnet sich das Dialogfeld mit dem Wert 1 (höchste Priorität).
Geben Sie einen Name und eine Description für Ihre Regel zur organisatorischen Klarheit ein.
Das Feld Category ist basierend auf der Erstellungsregel für Eigentümer vorausgefüllt.
Unter den Owner Creation Requirements
Der Account Type(optional) kann sein
- User Account (Standard)
- Service Account
- Resource Account
- Computer Account
- Vaulted Account
- Federated Account
Wenn nicht angegeben, gelten alle Typen.
NOTE
Wenn sowohl Kontotyp als auch Klassifizierung konfiguriert sind, gilt die Regel für ein Konto, das entweder dem Kontotyp oder der Klassifizierung entspricht.
Eine Account Classification (optional), falls konfiguriert.
Ein RegEx-Muster, das von der Regel abgeglichen werden soll.
Unter Require Email wählen Sie aus
- Email or UPN
- UPN
Wählen Sie bei Bedarf Require a space in the display name.
Optional wählen Sie Require two or more matching accounts before creating an owner.
Verwenden Sie die RegEx-Test- und Vorschauoptionen, um Ihre Regel zu überprüfen.
Sobald Sie bereit sind, die Regel in Ihrer Umgebung zu verwenden, aktivieren Sie das Kontrollkästchen Enable Rule oben im Dialogfeld. Die Spalte „Aktionen" zeigt an, ob eine benutzerdefinierte Regel aktiviert oder deaktiviert ist. Sie enthält entweder ein Häkchen für aktiviert oder ein X für deaktiviert.
Klicken Sie auf Add.
Siehe auch Testen einer RegEx-Regel und Vorschau einer Regel unter dem Thema Kontozuordnung.