Mandanten und Benutzer in Automic SaaS

Ihr Automic SaaS-Abonnement umfasst eine Nicht-Produktionsumgebung und eine Produktionsumgebung. Jede Umgebung hat standardmäßig einen Administrationsmandanten (Mandant 0) und einen Produktionsmandanten (Mandant 100) sowie einen Standardbenutzer.

Hier finden Sie alle Informationen, die für die Benutzer sowie Administrations- und Produktionsmandanten in Ihren Automic SaaS-Umgebungen relevant sind.

Mandant 0 in Automic SaaS

Mandant 0 wird auch als Systemmandant bezeichnet. Er ist der Administrationsmandant, der verwendet wird, um interne Objekte und systemweite Einstellungen zu verwalten. Systemadministratoren verwenden Mandant 0, um diese Einstellungen zu verwalten, die sich auf alle anderen Mandanten im System auswirken. Es kann nur einen einzigen Mandant 0 in einer Automic SaaS-Umgebung geben.

Für Automic SaaS-Administratoren beginnt die Umsetzung der Berechtigungsrichtlinie bereits mit der Planung und Erstellung der Mandanten, denn hier werden bereits Benutzer, Benutzergruppen, Objekte usw. zugewiesen. Wie Sie Ihre Mandantenumgebung definieren, hängt von der Struktur Ihres Unternehmens ab und davon, wie sie diese abbilden möchten. Eine Umgebung hat nur einen einzigen Mandant 0, der bereits vollständig konfiguriert ist. Sie können dessen Konfiguration nicht ändern. Wenn Änderungen nötig sind, müssen Sie eine Serviceanfrage über das BroadcomSupport-Portal stellen.

Die Grundkonfiguration von Mandant 0 in Automic SaaS ähnelt der Konfiguration in einer Nicht-SaaS-Umgebung von Automic Automation . Es gibt bestimmte Ordnerstrukturen, Objekte, Variablen und so weiter, die Teil jeder Mandant-0-Definition sind. Weitere Informationen finden Sie unter Systemmandant 0 – Administrationsmandant.

Die für Automic Automation-Administratoren in Mandant 0 verfügbaren Funktionen unterscheiden sich jedoch von den Funktionen, die für Automic SaaS-Administratoren verfügbar sind. Da viele der üblichen Mandant-0-Aktivitäten vom Automic SaaS-Anbieter durchgeführt werden, sind sie für Automic SaaS-Administratoren eingeschränkt.

Hier finden Sie einen Überblick darüber, was Sie als Systemadministrator in Mandant 0 und Ihren Produktionsmandanten tun dürfen und was nicht:

• Sie können Agenten hinzufügen und authentifizieren. Weitere Informationen finden Sie unter Agenten für Container-basierte Systeme installieren und konfigurieren und Authentifizierung von Agenten.

• Sie können Mandanten erstellen.

• Sie können sowohl in Mandant 0 als auch direkt in den Produktionsmandanten Benutzer erstellen. Wenn Sie Benutzer in Mandant 0 erstellen, können Sie sie mithilfe der REST-API auch auf einen Produktionsmandanten verschieben. Sie können dies entweder mithilfe der REST-API oder über die Benutzeroberfläche tun.

  Weitere Informationen finden Sie hier:

  • Definieren von Benutzern

  • Dokumentation zur AE-REST-API

• Sie können keine systembezogenen Aktionen durchführen, können also zum Beispiel das System nicht aktualisieren, keine Serverprozesse beenden, keine Telemetrie konfigurieren und keine Traces aktivieren.

• Sie haben Zugriff auf alle Variablen. Ausnahme: Sie haben nur Lesezugriff auf System-VARAs (Variable UC_SYSTEM_SETTINGS).

  Stellen Sie eine Serviceanfrage über das Support-Portal, wenn Sie Parameter der Variablen UC_SYSTEM_SETTINGS anpassen müssen. Weitere Informationen finden Sie unter UC_SYSTEM_SETTINGS: Systemweite Einstellungen.

Wichtig! Stellen Sie sicher, dass die Konfiguration von Mandant 0 in Ihrer Nicht-Produktionsumgebung mit Mandant 0 in der Produktionsumgebung identisch ist. Andernfalls können Sie Ihre Änderungen nicht unter Produktionsbedingungen testen und riskieren, dass Ihre Produktionsmandanten beschädigt werden.

Produktionsmandanten in Automic SaaS

Mandant 100 ist ein Standardproduktionsmandant, der in Automic SaaS enthalten ist. Sie müssen ihn nicht verwenden, wenn Sie dies nicht möchten.

Sie können Ihrer Umgebung weitere Produktionsmandanten hinzufügen. Stellen Sie dazu eine Serviceanfrage über das Support-Portal. Sie können sie auch an die Anforderungen Ihres Unternehmens anpassen.

In Produktionsmandanten entwerfen Benutzer Automatisierungsprozesse und Operatoren Überwachungsprozesse. Entwickler und Objektdesigner erstellen und konfigurieren Objekte in Produktionsmandanten und können sie auch überwachen, um sicherzustellen, dass sie sich wie erwartet verhalten. Operatoren und Manager verwenden Produktionsmandanten nicht nur, um die Konfiguration und die Abhängigkeiten der Objekte zu verstehen, sondern auch zur täglichen Überwachung, zur Analyse von Aufgaben und bei Bedarf auch, um Maßnahmen zu ergreifen.

Weitere Informationen finden Sie hier:

• Erste Schritte mit Automic SaaS für Objektdesigner

• Erste Schritte mit Automic SaaS für Operatoren

In Produktionsmandanten können Automic SaaS-Benutzer dieselben Aktionen durchführen wie Benutzer in einer Nicht-SaaS-Automic Automation-Umgebung.

UC_CLIENT_SETTINGS ist eine vordefinierte Mandantenvariable (VARA-Objekt), die es Ihnen ermöglicht, mandantenspezifische Einstellungen zu speichern, wie zum Beispiel das Verhalten beim Starten, Zugriffskontrolle, Benutzerpasswörter, Logs und so weiter. Diese Einstellungen werden im jeweiligen Mandantenobjekt angezeigt, wo sie bearbeitet werden können (siehe UC_CLIENT_SETTINGS: Verschiedene Mandanteneinstellungen.

Benutzer in Automic SaaS

Die Standardbenutzer für Mandant 0 und Mandant 100 werden automatisch erstellt und ihre Anmeldeinformationen werden dem Systemadministrator mitgeteilt. Systemadministratoren weisen Benutzer Benutzergruppen zu, um die Berechtigungen zu definieren, die sie in den jeweiligen Mandanten haben.

Weitere Informationen finden Sie hier:

• Definieren von Benutzern

• Benutzerverwaltung: Definieren und Verwalten des Berechtigungssystems

• Benutzergruppen (USRG)

Authentifizieren von Benutzern

Sie haben die folgenden Optionen, um die Benutzerauthentifizierungsmethode in Ihrer Automic SaaS-Umgebung zu definieren:

• SAML und Automic SaaS

• LDAP und Automic SaaS

• Benutzertoken

• Externes Verwalten von Kennwörtern und Agenten-Logins

SAML und Automic SaaS

SAML ist für Automic SaaS-Systeme aktiviert. Um SAML in Ihren Automic SaaS-Umgebungen zu verwenden, müssen Sie folgende Schritte durchführen:

1. Vergewissern Sie sich bei der Erstellung neuer Benutzer, dass der Automic SaaS-Benutzername mit dem Benutzernamen identisch ist, der in Ihrem SAML Identity Provider definiert ist.

2. Konfigurieren Sie Ihre Mandanten so, dass Ihre Benutzer mit einem oder mehreren SAML Identity Providern verknüpft sind. Sie tun dies in der Mandantenvariablen UC_SAML_SETTINGS, die in Ihrem Mandant 0 verfügbar ist. Weitere Informationen finden Sie unter UC_SAML_SETTINGS – Single Sign-on.

Das folgende Thema beschreibt das Konfigurieren der Automation Engine zum Einrichten von SAML-SSO: Single Sign-On einrichten - SAML. Obwohl dieses Thema für lokale Umgebungen gilt, hilft es Ihnen, besser zu verstehen, wie SSO in Automic SaaS umgesetzt wird. Als Automic SaaS-Kunde müssen Sie nur die Variable UC_SAML_SETTINGS konfigurieren.

LDAP und Automic SaaS

Automic SaaS unterstützt LDAPS, d. h., LDAP über TLS/SSL. Um LDAPS in Ihren Automic SaaS-Umgebungen zu verwenden, müssen Sie folgende Schritte durchführen:

1. Wenn Sie LDAP für Ihre Benutzer einrichten möchten: Stellen Sie Broadcom das LDAPS-Zertifikat zur Verfügung, damit wir den geheimen Schlüssel für Sie erstellen können.

2. Konfigurieren Sie Ihre Mandanten und Benutzer so, dass sie eine Verbindung zum LDAPS-Server herstellen. Ausführliche Informationen dazu finden Sie unter Konfigurieren der Mandanten und Benutzer für LDAP.

Hinweise:

• Wenn Sie anfangen, Benutzer zu erstellen: Stellen Sie sicher, dass Sie die Option LDAP-Verbindung in der Benutzerdefinition aktivieren. Weitere Informationen finden Sie unter Definieren von Benutzern.

• Sie haben auch die Möglichkeit, LDAP Sync zu installieren und so zu konfigurieren, dass Benutzerobjekte mit der AD/ODS-Benutzerbasis synchron gehalten werden. Weitere Informationen finden Sie unter LDAP Sync – Synchronisieren von LDAP-Benutzern und Benutzern im Automic system.

Benutzertoken

Automic Automation unterstützt die folgenden Authentifizierungsmethoden: Standardauthentifizierung und Benutzertoken. Abhängig von den Benutzerberechtigungen können Sie Token über zwei verschiedene AWI-Bereiche generieren und verwalten:

• Benutzer mit Zugriff auf ihre Benutzerobjektdefinition, die über die Berechtigung für Tokenzugriff und Tokenerstellung verfügen:

  Sie generieren und verwalten ihre Token im Abschnitt Token auf der Seite Benutzer in der Perspektive Administration.

• Alle Benutzer, unabhängig von der Benutzerobjektdefinition:

  Sie generieren und verwalten ihre Token auf der Registerkarte Token im Dialogfeld Einstellungen. Weitere Informationen finden Sie unter Generieren und Verwalten von Benutzertoken.

Benutzertoken haben ein Ablaufdatum. Wenn ein Token abläuft, schlagen alle Anforderungen mit der Fehlermeldung "Zugriff verweigert" fehl. Aus diesem Grund wird empfohlen, verschiedene Token zu erstellen, deren Ablaufdaten überlappen, damit Sie sich jederzeit erfolgreich authentifizieren können. Systemadministratoren können in der Systemvariablen DELETE_EXPIRED_TOKEN festlegen, ob Token automatisch gelöscht werden, nachdem sie abgelaufen sind.

Wichtig!

Aus Sicherheitsgründen können nur Automic Automation-Benutzer ihre eigenen Token erstellen. Administratoren können KEINE Token für sie erstellen. Diese Einschränkung dient als Sicherheitsmaßnahme und gewährleistet, dass nur der Benutzer die Token kennt, der sie verwendet.

Ein Token ist immer mit einem Benutzerobjekt verknüpft. Jedoch können fehlerhafte Verfahren beim Speichern und/oder Verwenden dazu führen, dass sie versehentlich öffentlich verfügbar gemacht werden. Es wird empfohlen, eine starke Sicherheitsrichtlinie durchzusetzen, um diese Situationen zu vermeiden. Diese Empfehlungen können Ihnen dabei helfen:

• Schützen Sie das Token, indem Sie den REST-Mandanten von dem Speicherort des Tokens trennen.

• Löschen Sie Token, die nicht mehr benötigt werden.

• Rotieren Sie die Token regelmäßig und definieren Sie Ablaufzeiträume, die nicht länger als notwendig sind und der Sicherheitsrichtlinie Ihres Unternehmens entsprechen.

Externes Verwalten von Kennwörtern und Agenten-Logins

Automic SaaS unterstützt CyberArk-Passworttresore zum Abrufen von Passwörtern über einen REST-Endpunkt. Um CyberArk in Ihren Automic SaaS-Umgebungen zu verwenden, müssen Sie folgende Schritte durchführen:

1. Senden Sie Ihr Zertifikat an Broadcom. Dies ist notwendig, damit wir Ihre geheimen Schlüssel erstellen können.

2. Konfigurieren Sie Ihren Passworttresor. Sie tun dies in der Variablen UC_VAULT_CYBERARK in Mandant 0. Weitere Informationen finden Sie unter UC_VAULT_CYBERARK – Passworttresor-Konfiguration.

Objektberechtigungen für Mandant-0- und Mandant-x-Objekte

Berechtigungen können auch auf Objektebene erteilt werden. Auch hier haben Automic SaaS-Benutzer in Mandant 0 und Produktionsmandanten die gleichen Berechtigungen wie Nicht-SaaS-Benutzer. Die einzige Ausnahme ist, dass Automic SaaS-Benutzer nur Lesezugriff auf die Objekte haben, die für die Systemkonfiguration relevant sind.

Stellen Sie eine Serviceanfrage über das Support-Portal, wenn Sie Parameter der Variablen UC_SYSTEM_SETTINGS oder andere Objekte anpassen müssen, die für die Systemkonfiguration relevant sind.

Weitere Informationen zu den Systemeinstellungen finden Sie unter UC_SYSTEM_SETTINGS: Systemweite Einstellungen.

Weitere Informationen über Berechtigungen für Benutzer und Benutzergruppen finden Sie unter:

• Benutzerverwaltung: Definieren und Verwalten des Berechtigungssystems

• Gewähren von Automation Engine-Berechtigungen

• Gewähren von Automation Engine-Berechtigungen

Weitere Informationen zu Berechtigungen auf Objektebene finden Sie auf der Definieren der Seite "Berechtigungen".

Siehe auch:

• Über Automic SaaS

• Erste Schritte mit Automic SaaS