Verzeichnisse für die Benutzer- und Gruppenverwaltung
Erfahren Sie, wie Sie die Verwaltung von Benutzern und Benutzergruppen mit Verzeichnissen segmentieren
Verzeichnisse ermöglichen es Organisationen, die Benutzer- und Gruppenverwaltung in abgegrenzte Container zu unterteilen. Jedes Verzeichnis kann eine Teilmenge der Benutzer oder Benutzergruppen einer Organisation enthalten (sowohl Command-Benutzergruppen als auch Benutzergruppen für die Zugriffskontrolle).
Diese Struktur ermöglicht es Organisationen, die Benutzerverwaltung an regionale oder funktionale Administratoren zu delegieren, ohne organisationsweite Berechtigungen zu vergeben. Ein Administrator, der beispielsweise den Badge-Zugang für das Büro in San Francisco verwaltet, kann auf das „SF-Verzeichnis“ beschränkt werden.
Verzeichnisse in Command
Verzeichnisse ermöglichen es Organisationen, die Benutzer- und Gruppenverwaltung zu segmentieren und bieten Kontrolle über Berechtigungen, Sichtbarkeit und administrativen Umfang. Mit Verzeichnissen können Sie:
Berechtigungen zum Anzeigen, Bearbeiten oder Erstellen von Benutzern und Gruppen auf ein bestimmtes Verzeichnis beschränken.
Zugriffskontroll-Administratoren die Verwaltung von Benutzern, Zugriffsgruppen und Anmeldedaten für einen Standort ermöglichen, ohne andere Standorte zu beeinflussen.
Sichtbarkeit und Bearbeitungsrechte so einschränken, dass Verzeichnis-Administratoren nur auf Benutzer und Gruppen innerhalb ihres zugewiesenen Verzeichnisses zugreifen können.
Optional alle Benutzer und Gruppen außerhalb des einem Administrator zugewiesenen Verzeichnisses ausblenden.
Verzeichnisse organisieren
Organisationen können vorhandene Benutzer und Gruppen in ein Verzeichnis verschieben oder neue direkt innerhalb eines Verzeichnisses erstellen. Benutzer und Gruppen werden von Global, dem organisationsweiten Container, in einzelne Verzeichnisse organisiert.
Global
Global enthält standardmäßig alle Benutzer und Gruppen. Nur Rollen, die auf organisationsweiter Ebene vergeben wurden, bieten administrative Kontrolle über Global und alle Verzeichnisse. SCIM-synchronisierte Benutzer werden mit Global synchronisiert, und Gruppen auf Global-Ebene können als Quellen für Zuweisungen über Verzeichnisse hinweg dienen.
Verzeichnis
Ein Verzeichnis ist ein logischer Container für Benutzer und Gruppen innerhalb einer Organisation. Es wird typischerweise verwendet, um Standorte, Regionen, Campusgelände, Geschäftseinheiten oder Mandanten darzustellen und eine abgegrenzte Verwaltung zu ermöglichen.
Verzeichnisse können:
eine Teilmenge von Benutzern und Gruppen enthalten (Command- und Zugriffskontrollgruppen).
nur unter Global existieren (Verschachtelung wird nicht unterstützt).
unabhängig über verzeichnisbezogene Rollen verwaltet werden.
sich automatisch mit Benutzern und Gruppen über SCIM-Synchronisierung oder vorhandene Command-/Zugriffskontrollgruppen füllen.
sich automatisch aktualisieren, wenn Benutzer zu synchronisierten oder Quellgruppen hinzugefügt oder daraus entfernt werden.
optional die Sichtbarkeit einschränken, sodass Administratoren mit Verzeichnisbezug nur Benutzer und Gruppen innerhalb ihres Verzeichnisses sehen.
Verzeichnisse verwalten
Benutzer
Benutzer können Mitglieder eines oder mehrerer Verzeichnisse sein.
Benutzer, die in einem Verzeichnis erstellt oder einem Verzeichnis hinzugefügt werden, bleiben weiterhin in Global enthalten.
SCIM-synchronisierte Benutzer werden standardmäßig immer in Global platziert.
Gruppen
Wie Benutzer können auch Gruppen (sowohl Command-Gruppen als auch Zugriffskontrollgruppen) in Verzeichnissen platziert werden.
Jede Gruppe kann nur in einem Verzeichnis existieren.
Eine Gruppe kann nur Benutzer enthalten, die zum selben Verzeichnis gehören.
Gruppen sind auf ihr Verzeichnis beschränkt und können in anderen Verzeichnissen nicht referenziert werden.
Gruppen können automatisch mithilfe von SCIM-synchronisierten Gruppen oder vorhandenen Command-/Zugriffskontrollgruppen als Zuweisungsquellen aufgefüllt werden, wodurch sichergestellt wird, dass die Mitgliedschaft ohne manuelle Änderungen aktuell bleibt.
Rollen und Berechtigungen
Berechtigungen für die Benutzerverwaltung in Verkada werden über Command-Rollen und Rollen für die Zugriffsbenutzerverwaltung vergeben.
Standardmäßig gewähren diese Rollen Berechtigungen für alle Benutzer, Command-Gruppen und Zugriffsgruppen in der gesamten Organisation. Mit Verzeichnissen können diese Rollen optional auf ein bestimmtes Verzeichnis beschränkt werden.
Die organisationsweite Version dieser Rollen bleibt verfügbar. Wenn einem Benutzer eine organisationsweite Rolle zugewiesen wird, erhält er Berechtigungen für alle Benutzer und Gruppen in Global und in allen Verzeichnissen.
Benutzer, denen eine dieser Rollen zugewiesen wurde, bevor Verzeichnisse aktiviert wurden, behalten automatisch die organisationsweite Version der Rolle.
Verzeichnisspezifische Rollen und Berechtigungen
Org-Administrator
Organisationsweit
Verzeichnisse erstellen und löschen. Alle Benutzer und Command-Gruppen verwalten, einschließlich Benutzer deaktivieren, Benutzer löschen und Benutzer endgültig entfernen.
Command-Benutzeradministrator
Organisationsweit
Benutzer und Command-Gruppen in Global und in allen Verzeichnissen erstellen und bearbeiten. Benutzer deaktivieren, Benutzer löschen und Benutzer aus Verzeichnissen entfernen. Benutzer können nicht endgültig entfernt werden.
Command-Benutzeranzeige*
Organisationsweit
Benutzer und Gruppen anzeigen
Administrator für Zugriffsbenutzer
Organisationsweit
Benutzer und Command-Gruppen in Global und in allen Verzeichnissen erstellen, bearbeiten und löschen
Zugriffsbenutzer-Manager
Organisationsweit
Benutzer und Mitgliedschaften in Zugriffsgruppen in Global und in allen Verzeichnissen bearbeiten
Manager für Zugriffsanmeldedaten
Organisationsweit
Benutzeranmeldedaten (Karten, PINs, mobile Entsperrungen) in Global und in allen Verzeichnissen bearbeiten und löschen
Command-Benutzeradministrator
Verzeichnis
Benutzer und Command-Gruppen innerhalb des Verzeichnisses erstellen und bearbeiten. Benutzer aus dem Verzeichnis entfernen (Benutzer werden wieder nach Global verschoben) oder Benutzer deaktivieren. Benutzer können nicht gelöscht oder endgültig entfernt werden.
Command-Benutzeranzeige
Verzeichnis
Benutzer und Gruppen innerhalb des betreffenden Verzeichnisses anzeigen
Administrator für Zugriffsbenutzer
Verzeichnis
Benutzer und Command-Gruppen innerhalb des Verzeichnisses erstellen, bearbeiten und löschen
Zugriffsbenutzer-Manager
Verzeichnis
Benutzer und Anmeldedaten erstellen
Gruppenmitgliedschaften innerhalb des Verzeichnisses verwalten
Manager für Zugriffsanmeldedaten
Verzeichnis
Benutzeranmeldedaten innerhalb des Verzeichnisses erstellen und bearbeiten
Bei Rollen mit Verzeichnisbezug können Administratoren nur Benutzer, Gruppen und Anmeldedaten innerhalb ihres zugewiesenen Verzeichnisses anzeigen und verwalten. Der Zugriff und die Sichtbarkeit außerhalb des Verzeichnisses sind vollständig eingeschränkt.
* Die Rolle „Command-Benutzeranzeige“ kann Benutzern nur zugewiesen werden, wenn „Benutzersichtbarkeit einschränken“ aktiviert ist.
Konfiguration
Verzeichnisse aktivieren
Alle Verzeichnisfunktionen sind standardmäßig deaktiviert. Verzeichnisse können im Feature Manager aktiviert werden. Nach der Aktivierung können Verzeichnisse erstellt und verwaltet werden über die Admin > Benutzerverwaltung Seite in Command.
Gehen Sie in Command zu Alle Produkte > Admin.
Wählen Sie unter Org-Einstellungen den Feature Manager aus.
Wählen Sie unter Command neben Verzeichnisse Aktivieren aus.
Nach der Aktivierung von Verzeichnissen:
Alle vorhandenen Benutzer, Gruppen und Rollenzuweisungen bleiben in der Global-Ansicht sichtbar.
Sie können Verzeichnisse erstellen, um Benutzer und Gruppen innerhalb abgegrenzter Bereiche zu verwalten.
Um Benutzer und Gruppen außerhalb des Bereichs für Administratoren mit Verzeichnisbezug vollständig auszublenden, aktivieren Sie Eingeschränkte Benutzersichtbarkeit für Standortrollen im Feature Manager.
Sie können Verzeichnisse nicht aktivieren, wenn Ihrer Organisation Benutzer mit zugewiesenen Legacy-Zugriffskontrollrollen hat. Siehe Legacy-Zugriffskontrollrollen für weitere Informationen.
Ein Verzeichnis erstellen
Gehen Sie in Verkada Command zu Alle Produkte > Admin.
Wählen Sie in der linken Navigation Benutzerverwaltung aus.
Klicken Sie oben links auf Global.
a. Neben Verzeichnisse klicken Sie auf . b. Wählen Sie Neues Verzeichnis. c. Geben Sie einen weltweit eindeutigen Namen ein. d. Drücken Sie die Eingabetaste auf Ihrer Tastatur, um zu speichern.
Das automatische Erstellen eines Verzeichnisses aus einem Standort kopiert während der Erstellung des Verzeichnisses nur den Namen des Standorts. Verzeichnis- und Standortnamen werden nach der Erstellung nicht synchron gehalten.
Nach dem Erstellen von Verzeichnissen:
Verschieben Sie vorhandene Benutzer und Gruppen von Global in die gewünschten Verzeichnisse.
Erstellen Sie neue Benutzer oder Gruppen direkt innerhalb eines Verzeichnisses.
Füllen Sie Verzeichnisse automatisch mithilfe von SCIM-synchronisierten Gruppen oder vorhandenen Command-/Zugriffskontrollgruppen als Zuweisungsquellen auf.
Wenn Eingeschränkte Benutzersichtbarkeit für Standortrollen im Feature Manager aktiviert ist, können Administratoren mit Verzeichnisbezug nur Benutzer und Gruppen innerhalb ihres zugewiesenen Verzeichnisses sehen.
Benutzer zu einem Verzeichnis hinzufügen
Vorhandener Benutzer
Gehen Sie in Verkada Command zu Alle Produkte > Admin.
Wählen Sie in der linken Navigation Benutzerverwaltung > Benutzer aus.
Wählen Sie einen oder mehrere Benutzer aus und klicken Sie auf Zu Verzeichnis hinzufügen.
a. Wählen Sie die benötigten Verzeichnisse aus. b. Klicken Sie auf Fertig.
Neuer Benutzer
Gehen Sie in Verkada Command zu Alle Produkte > Admin.
Wählen Sie in der linken Navigation Benutzerverwaltung > Benutzer aus.
Klicken Sie oben rechts auf Benutzer hinzufügen.
a. Befolgen Sie die Anweisungen auf dem Bildschirm, um einen neuen Benutzer zu erstellen. b. Auf Verzeichnisse:
Wählen Sie die benötigten Verzeichnisse aus.
Klicken Sie auf Fertig.
e. Fahren Sie mit den nächsten Schritten fort. f. Klicken Sie auf Neuen Benutzer erstellen.
Gruppen zu einem Verzeichnis hinzufügen
Vorhandene Gruppen
Gehen Sie in Verkada Command zu Alle Produkte > Admin.
Wählen Sie in der linken Navigation Benutzerverwaltung > Gruppen aus.
Wählen Sie eine oder mehrere Gruppen aus und klicken Sie auf Zu Verzeichnis hinzufügen > In Verzeichnis verschieben.
Wählen Sie ein einzelnes Verzeichnis aus und klicken Sie auf Fertig.
Wenn Sie eine Gruppe in ein Verzeichnis verschieben, werden alle ihre Benutzer zu diesem Verzeichnis hinzugefügt, sofern sie nicht bereits Mitglieder sind. Das spätere Entfernen der Gruppe entfernt ihre Benutzer nicht aus dem Verzeichnis.
Neue Gruppen
Gehen Sie in Verkada Command zu Alle Produkte > Admin.
Wählen Sie in der linken Navigation Benutzerverwaltung > Gruppen aus.
Klicken Sie oben rechts auf Erstellen.
Wählen Sie Command-Gruppe oder Zugriffsgruppe aus.
a. Befolgen Sie die Anweisungen auf dem Bildschirm, um eine neue Gruppe zu erstellen. b. Auf Verzeichnisstandortwählen Sie ein bestimmtes Verzeichnis aus. c. Fahren Sie mit den nächsten Schritten fort. d. Klicken Sie auf Gruppe erstellen.
Verzeichnisbezogene Rollen vergeben
Command-Rollen
Gehen Sie in Verkada Command zu Alle Produkte > Admin.
Wählen Sie in der linken Navigation Benutzerverwaltung > Benutzer oder Gruppen aus.
Klicken Sie in der linken Navigation neben Command-Rollen auf .
Suchen Sie das gewünschte Verzeichnis und wählen Sie Command-Benutzeradministrator aus.
Gehen Sie in Verkada Command zu Alle Produkte > Admin.
Wählen Sie in der linken Navigation Benutzerverwaltung > Benutzer oder Gruppen aus.
Klicken Sie unter Zugriffskontrollrollen auf .
Suchen Sie unter Benutzerverwaltungsrolle das gewünschte Verzeichnis und wählen Sie die relevante Zugriffsbenutzerrolle aus.
Benutzer mit einem Verzeichnis synchronisieren
Gehen Sie in Verkada Command zu Alle Produkte > Admin.
Wählen Sie in der linken Navigation Benutzer & Berechtigungen > Verzeichnisse aus.
Wählen Sie oben links Gruppen aus.
Aktivieren Sie das Kontrollkästchen neben den Gruppen in der Liste, die als Zuweisungsquelle für ein Verzeichnis verwendet werden sollen.
Klicken Sie oben rechts auf Zu Verzeichnis hinzufügen > Mit Verzeichnis synchronisieren.
a. Wählen Sie das Verzeichnis aus, mit dem Sie Benutzer aus dieser Gruppe synchronisieren möchten. b. Klicken Sie auf Bestätigen. c. Alternativ können Sie zur Seite einer einzelnen Gruppe gehen und auswählen, dass ihre Mitglieder mit einem Verzeichnis synchronisiert werden.
SCIM-Gruppen können nicht wie lokal verwaltete Command- oder Zugriffsgruppen zu einem Verzeichnis hinzugefügt werden. Sie können ihre Mitglieder nur mit einem Verzeichnis synchronisieren.
Eine Gruppe kann entweder zu einem Verzeichnis hinzugefügt oder so eingestellt werden, dass ihre Mitglieder synchronisiert werden. Beides gleichzeitig ist nicht möglich.
Benutzersichtbarkeit einschränken
Wenn Verzeichnisse aktiviert sind, können Org-Administratoren die Benutzersichtbarkeit einschränken Einstellung im Feature Manager aktivieren. Diese Einstellung schränkt ein, welche Benutzer und Gruppen in Command und der Zugriffskontrolle sichtbar sind, basierend auf der dem Benutzer zugewiesenen Rolle.
Wenn „Benutzersichtbarkeit einschränken“ aktiviert ist, sehen Benutzer mit den folgenden Rollen nur Benutzer und Gruppen, die ihren zugewiesenen Standorten zugeordnet sind:
Standortadministrator
Standortanzeige
Administrator für Zugriffssystem
Zugriffs-Standortadministrator
Zugriffs-Standortmanager
Zugriffs-Standortanzeige
Arbeitsplatz-Standortadministrator
Dadurch wird sichergestellt, dass Standort- und Systemmanager keine Benutzer außerhalb ihrer zugewiesenen Standorte sehen können, was die Privatsphäre verbessert und angemessene Zugriffsgrenzen aufrechterhält.
Zuletzt aktualisiert
War das hilfreich?