Chat now with support
Chat mit Support

Identity Manager 8.2 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops IT Shop mit dem Web Portal für Application Governance nutzen Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Leistungspositionen erfassen Servicekategorien erfassen Produktspezifische Bestelleigenschaften erfassen Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Nutzungsbedingungen erfassen Schlagworte erfassen
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellung und Delegierung Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Active Directory und SharePoint Gruppen automatisch in den IT Shop aufnehmen Privileged Account Management Benutzergruppen automatisch in den IT Shop aufnehmen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien für Bestellungen Entscheidungsworkflows für Bestellungen Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Entscheiden von Bestellungen eines Entscheiders Bestellungen automatisch entscheiden Entscheidungen durch Peer-Gruppen-Analyse Weitere Informationen zur Bestellung einholen Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Bestellvorlagen Empfehlungen und Hinweise zum Transportieren von IT Shop Bestandteilen mit dem Database Transporter
Beheben von Fehlern im IT Shop Konfigurationsparameter für IT Shop Status von Bestellungen Beispiele für das Ergebnis von Bestellungen

Verarbeitung von Entscheidungsmails

Der Zeitplan Verarbeiten der IT Shop Entscheidungen per E-Mail startet den Prozess VI_ITShop_Process Approval Inbox. Dieser Prozess führt das Skript VI_MailApproval_ProcessInBox aus, welches das Postfach nach neuen Entscheidungsmails durchsucht und die Bestellvorgänge in der One Identity Manager-Datenbank aktualisiert. Dabei wird der Inhalt der Entscheidungsmail verarbeitet.

HINWEIS: Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Attestierungen per E-Mail verwendet wird!

Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der One Identity Manager Service läuft, diesem Rootzertifikat vertrauen.

TIPP: Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover-Dienst läuft.

Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter QER | ITShop | MailApproval | ExchangeURI an.

Entscheidungsmails werden durch das Skript VI_MailApproval_ProcessMail verarbeitet. Das Skript ermittelt die getroffene Entscheidung, aktiviert bei positiver Entscheidung die Option Genehmigt und hinterlegt die Begründung für die Entscheidung an den Bestellvorgängen. Über die Absenderadresse wird der Entscheider ermittelt. Danach wird die Entscheidungsmail abhängig vom gewählten Aufräumverfahren aus dem Postfach entfernt.

HINWEIS: Wenn Sie eine unternehmensspezifische Mailvorlage für die Entscheidungsmail nutzen, prüfen Sie das Skript und passen Sie es gegebenenfalls an. Beachten Sie dabei, dass dieses Skript auch für Attestierungen per E-Mail verwendet wird!

Entscheidungen über die Starling 2FA App zulassen

Um Entscheidern, die zeitweilig keinen Zugang zu den One Identity Manager Werkzeugen haben, die Möglichkeit zu geben, Bestellungen zu entscheiden, können Sie die Entscheidung per Starling 2FA App zulassen. Dabei werden die Entscheider durch die Starling 2FA App aufgefordert eine Bestellung zu genehmigen oder abzulehnen. Die Starling 2FA App kann so auch für Entscheidungen genutzt werden, die keine Multifaktor-Authentifizierung erfordern, also für die Bestellung von Leistungspositionen, an denen die Option Entscheidung durch Multifaktor-Authentifizierung deaktiviert ist.

Voraussetzungen

  • Die Multifaktor-Authentifizierung mit Starling Cloud ist konfiguriert.

  • Die Entscheider sind bei Starling Two-Factor Authentication registriert.

Ausführliche Informationen dazu finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Um die Starling 2FA App für Entscheidungen zu nutzen

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | Starling | UseApprovalAnywhere.

Die Entscheidung muss in der App standardmäßig innerhalb von 5 Minuten ausgeführt werden. Ist diese Zeit überschritten, muss das Web Portal genutzt werden, um die Bestellung zu entscheiden.

Um die Wartezeit zu ändern

  • Aktivieren Sie im Designer den Konfigurationsparameters QER | Person | Starling | UseApprovalAnywhere | SecondsToExpire und passen Sie den Wert an. Erfassen Sie die Wartezeit in Sekunden.

Verwandte Themen

Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften

Wechselt eine Person ihre primäre Abteilung (Geschäftsrolle, Kostenstelle oder den Standort), verliert sie alle darüber vererbten Unternehmensressourcen und Systemberechtigungen. Mitunter kann es erforderlich sein, dass die Person diese Unternehmensressourcen und Systemberechtigungen für einen bestimmten Zeitraum behält. Mit einer zeitlich begrenzten Bestellung kann die bisherige Mitgliedschaft der Person aufrecht erhalten werden. Die vererbten Zuweisungen werden erst nach Ablauf des Gültigkeitszeitraums dieser Bestellung entfernt. Innerhalb des Gültigkeitszeitraums kann die Person die Bestellung verlängern.

Voraussetzungen

  • Personenstammdaten werden durch einen Import geändert.

  • Der Import setzt die Session-Variable FullSync=TRUE.

Um automatische Bestellungen für entfernte Rollenmitgliedschaften zu konfigurieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | ChallengeRoleRemoval.

  2. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | ChallengeRoleRemoval | DaysOfValidity und geben Sie den Gültigkeitszeitraum für die Bestellungen an.

  3. Aktivieren Sie im Designer die Konfigurationsparameter unterhalb von QER | ITShop | ChallengeRoleRemoval für die Rollen, deren primäre Mitgliedschaften bei Änderung erhalten bleiben sollen.

  4. Übernehmen Sie die Änderungen in die Datenbank.

HINWEIS: Die Konfigurationsparameter sind standardmäßig aktiviert. Der Gültigkeitszeitraum ist auf 7 Tage festgelegt.

Wenn durch einen Import Personenstammdaten geändert werden, prüft der One Identity Manager beim Speichern, ob eine primäre Rollenmitgliedschaft (beispielsweise Person.UID_Department) geändert oder gelöscht wurde. Ist das der Fall, wird das Skript VI_CreateRequestForLostRoleMembership ausgeführt. Das Skript erzeugt eine zeitlich begrenzte Zuweisungsbestellung dieser Rolle, die automatisch genehmigt wird. Die Person bleibt damit Mitglied der Rolle und behält ihre Unternehmensressourcen und Systemberechtigungen. Nach Ablauf des Gültigkeitszeitraums wird die Bestellung automatisch abbestellt.

Während des Gültigkeitszeitraums kann die Bestellung verlängert werden. Die Verlängerungsbestellung muss durch den Manager der Rolle entschieden werden. Bei Genehmigung wird sie in eine unbefristete Bestellung umgewandelt. Die Rollenmitgliedschaft bleibt bestehen, bis die Zuweisung abbestellt wird.

TIPP: Im Konfigurationsparameter QER | ITShop | ChallengeRoleRemoval | ITShopOrg ist festgelegt, welcher Produktknoten für die zeitlich begrenzte Bestellung geänderter Rollenmitgliedschaften verwendet werden soll. Das Produkt Temporäre Verlängerung gelöschter Rollenmitgliedschaften steht standardmäßig im Regal Identity & Access Lifecycle | Identity Lifecycle bereit. Sie können dieses Produkt auch in eine eigene IT Shop-Lösung aufnehmen.

Um das Produkt "Temporäre Verlängerung gelöschter Rollenmitgliedschaften" in einer eigenen IT Shop-Lösung zu nutzen

  1. Weisen Sie die Zuweisungsressource Temporäre Verlängerung gelöschter Rollenmitgliedschaften an ein eigenes Regal zu.

  2. Bearbeiten Sie im Designer den Wert des Konfigurationsparameters QER | ITShop | ChallengeRoleRemoval | ITShopOrg.

    • Geben Sie den vollständigen Namen oder die UID des neuen Produktknotens an.

Verwandte Themen

Bestellungen von dauerhaft deaktivierten Personen

Standardmäßig bleiben dauerhaft deaktivierte Personen Mitglied in allen Kundenknoten. Damit bleiben auch alle offenen Bestellungen und die daraus resultierenden Zuweisungen erhalten. Der One Identity Manager kann so konfiguriert werden, dass eine Person automatisch aus allen Kundenknoten entfernt wird, sobald sie dauerhaft deaktiviert wird. Damit werden alle offenen Bestellungen abgebrochen und die bestehenden Zuweisungen werden entfernt.

Um Personen automatisch aus allen Kundenknoten zu entfernen, wenn sie dauerhaft deaktiviert werden

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoCloseInactivePerson.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen