Berechnungsvorschriften deaktivieren
Der One Identity Manager stellt Standard-Berechnungsvorschriften für alle zuweisbaren Unternehmensressourcen bereit. Abhängig von Ihrer unternehmensspezifischen Konfiguration des One Identity Manager werden nicht alle Berechnungsvorschriften benötigt. Um nicht-relevante Berechnungsvorschriften von der Risikoindexberechnung auszuschließen, können Sie diese Berechnungsvorschriften deaktivieren. Dadurch werden die betroffenen Berechnungsprozeduren neu erstellt.
Um Berechnungsvorschriften zu deaktivieren
- Wählen Sie die Kategorie Risikoindex-Berechnungsvorschriften.
- Öffnen Sie in der Navigationsansicht den Menüeintrag Risikoindex-Berechnungsvorschriften | <Tabelle> | <Filter>.
- Wählen Sie in der Ergebnisliste eine Berechnungsvorschrift aus und führen Sie die Aufgabe Stammdaten bearbeiten aus.
- Wählen Sie den Tabreiter Allgemein.
- Klicken Sie Deaktiviert.
Wenn die Option bereits aktiviert ist, ist keine Änderung notwendig.
- Speichern Sie die Änderungen.
Berechnung starten
Die Risikoindexberechnung wird durch folgende Ereignisse gestartet:
- Eine Berechnungsvorschrift wurde geändert.
- Objekte in den Quelltabellen wurden geändert.
- Ein zeitgesteuerter Berechnungsauftrag wird ausgeführt.
Berechnungsvorschrift wurde geändert
Sobald eine Berechnungsvorschrift geändert wurde, wird die Berechnungsprozedur für die betroffene Tabellenspalte (Ziel) neu erstellt. Dabei wird für jede Tabellenspalte (Ziel) genau eine Prozedur erstellt, die alle aktivierten Berechnungsvorschriften für diese Tabellenspalte zusammenfasst. Anschließend werden die Risikoindizes neu berechnet.
Datenänderung in einer Quelltabelle
Sobald sich Daten in den Quelltabellen ändern, werden die Risikoindizes neu berechnet. Dafür wird ein Berechnungsauftrag in den DBQueue Prozessor eingestellt. Wenn die Option Direkte Berechnung an der Berechnungsvorschrift aktiviert ist, werden die betroffenen Risikoindizes sofort berechnet. Die Berechnung wird in diesem Fall nicht über den DBQueue Prozessor gesteuert.
Folgende Änderungen in den Quelltabellen lösen eine Neuberechnung aus
- Objekte wurden eingefügt oder gelöscht
- Die Herkunft einer Zuweisung hat sich geändert.
- Die Wirksamkeit einer Zuweisung hat sich geändert.
- Risikoindizes wurden geändert
- Risikoindizes wurden berechnet
Alle anderen Änderungen lösen keine automatische Neuberechnung der Risikoindizes aus. Damit sich auch diese Änderungen auf die berechneten Risikoindizes auswirken können, kann die Risikoindexberechnung durch einen zeitgesteuerten Prozessauftrag ausgelöst werden. Das ist beispielsweise erforderlich, damit die Genehmigung von Attestierungsvorgängen in den berechneten Risikoindizes berücksichtigt wird. Ebenso werden Berechnungsvorschriften, denen keine Quelltabellen zugewiesen sind, nur bei einer zyklischen Neuberechnung berücksichtigt.
Zeitgesteuerter Berechnungsauftrag für den DBQueue Prozessor wird ausgeführt
Um sicherzustellen, dass die berechneten Risikoindizes alle Datenänderungen und alle Berechnungsvorschriften berücksichtigen, kann die Risikoindexberechnung durch einen zeitgesteuerten Berechnungsauftrag veranlasst werden. Dafür stellt der One Identity Manager den Zeitplan "Risikoindizes berechnen" bereit. Der Zeitplan ist standardmäßig deaktiviert. Um die zyklische Neuberechnung von Risikoindizes zu veranlassen, aktivieren Sie den Zeitplan und passen Sie die Ausführungszeiten unternehmensspezifisch an.
Um den Zeitplan zur Risikoindexberechnung zu aktivieren
- Öffnen Sie den Designer.
- Wählen Sie die Kategorie Basisdaten | Allgemein | Zeitpläne.
- Wählen Sie im Listeneditor den Zeitplan "Risikoindizes berechnen".
- Klicken Sie in der Bearbeitungsansicht Aktiviert.
- Speichern Sie die Änderungen.
Verwandte Themen
Wichtung und Normierung
Der Risikoindex eines Objekttyps kann über verschiedene Verfahren berechnet werden.
- Höchster Risikoindex aller zugewiesenen Unternehmensressourcen
- Mittelwert der Risikoindizes aller zugewiesenen Unternehmensressourcen
- Höchster gewichteter Risikoindex aller zugewiesenen Unternehmensressourcen
- Summe aller auf 1 normierten und gewichteten Risikoindexwerte der zugewiesenen Unternehmensressourcen
In den Standard-Berechnungsvorschriften werden die Risikoindizes nach dem Verfahren 1 berechnet.
HINWEIS: Wenn in Berechnungsvorschriften für ein und dieselbe Zielspalte sowohl Berechnungsarten zur Wichtung, als auch Berechnungsarten zur Normierung eingesetzt werden, ermittelt die Risikoindexberechnung keine sinnvollen Werte.
Für alle Berechnungsvorschriften einer Zielspalte gilt: Kombinieren Sie nur Berechnungsvorschriften mit den Berechnungsarten "Maximum (gewichtet)" und "Mittelwert (gewichtet)" oder Berechnungsvorschriften mit den Berechnungsarten "Maximum (normiert)" und "Mittelwert (normiert)"!
Wichtung
Bei den Berechnungen nach Verfahren 3 wird der Maximalwert oder der Mittelwert der Risikoindizes aller zugewiesenen Unternehmensressourcen eines Objekttyps ermittelt. Dieser Wert wird mit dem angegebenen Wichtungsfaktor gewichtet. Der höchste gewichtete Risikoindex bildet den berechneten Risikoindex.
Berechnungen nach den Verfahren 1 und 2 ergeben sich, wenn als Wichtung in allen relevanten Berechnungsvorschriften der Wert 1 angegeben ist.
Um Risikoindizes nach den Verfahren 1, 2 oder 3 zu berechnen
- Wählen Sie die Berechnungsart "Maximum (gewichtet)" oder "Mittelwert (gewichtet)".
Normierung
Bei den Berechnungen nach Verfahren 4 wird der Maximalwert oder der Mittelwert der Risikoindizes aller zugewiesenen Unternehmensressourcen eines Objekttyps ermittelt. Dieser Wert wird gewichtet. Die Summe aller gewichteten Risikoindizes dieses Objekttyps bildet den berechneten Risikoindex.
Da für den resultierenden Risikoindex der Wertebereich 0 bis 1 eingehalten werden muss, muss die Summe der Wichtungsfaktoren innerhalb einer Berechnung genau 1 sein. Daher werden die Wichtungsfaktoren aller aktivierten Berechnungsvorschriften für ein und dieselbe Zielspalte auf 1 normiert. Mit diesem normierten Wert wird der ermittelte Risikoindex gewichtet. Die normierte Wichtung berechnet sich aus dem Wichtungsfaktor geteilt durch die Summe aller relevanten Wichtungsfaktoren. Damit ergibt sich für die Berechnung des Risikoindex folgende Formel:
Um Risikoindizes nach dem Verfahren 4 zu berechnen
- Wählen Sie die Berechnungsart "Maximum (normiert)" oder "Mittelwert (normiert)".
Sobald nur eine Berechnungsvorschrift für eine Zielspalte existiert, ist der Wichtungsfaktor nicht relevant, da das Ergebnis der Normierung genau 1 ist. In diesem Fall liefern Berechnungen nach dem Verfahren 4 das gleiche Ergebnis, wie die Berechnungen nach Verfahren 1. Der Unterschied zwischen Wichtung und Normierung ist dann relevant, wenn mehr als eine Berechnungsvorschrift für eine Zielspalte aktiviert ist. Das wird in folgendem Beispiel deutlich.
Beispiel
Der Risikoindex für SAP Benutzerkonten soll aus den Risikoindizes der zugewiesenen SAP Gruppen und strukturellen Profile berechnet werden sowie aus den Risikoindizes der SAP Funktionen, die die Benutzerkonten treffen. Einem Benutzerkonto sind drei SAP Gruppen (G1, G2, G3) sowie zwei strukturelle Profile (P1, P2) zugewiesen. Das Benutzerkonto trifft genau eine SAP Funktion (SF).
Risikoindizes
- G1 = 0,2
- G2 = 0,3
- G3 = 0,4
- P1 = 0,6
- P2 = 0,7
- SF = 0,5
Berechnungsart
- nach Verfahren 1: Maximum (gewichtet), Wichtungsfaktor = 1
- nach Verfahren 3: Maximum (gewichtet)
Wichtungsfaktor der SAP Gruppen: 0,6
Wichtungsfaktor der strukturellen Profile: 0,8
Wichtungsfaktor der SAP Funktion: 0,7
- nach Verfahren 4: Maximum (normiert)
Wichtungsfaktor der SAP Gruppen: 0,6
Wichtungsfaktor der strukturellen Profile: 0,8
Wichtungsfaktor der SAP Funktion: 0,7
Tabelle 8: Ergebnisse der Risikoindexberechnungen
Höchster Risikoindex aller zugewiesenen SAP Gruppen |
0,4 |
0,4 |
0,4 |
Wichtung/Normierung |
1 * 0,4 = 0,4 |
0,6 * 0,4 = 0,24 |
(0,6 / (0,6 + 0,8 + 0,7)) * 0,4 = 0,11428 |
Höchster Risikoindex aller zugewiesenen strukturellen Profile |
0,7 |
0,7 |
0,7 |
Wichtung/Normierung |
1 * 0,7 = 0,7 |
0,8 * 0,7 = 0,56 |
(0,8 / (0,6 + 0,8 + 0,7)) * 0,7 = 0,26667 |
Höchster Risikoindex aller getroffenen SAP Funktionen |
0,5 |
0,5 |
0,5 |
Wichtung/Normierung |
1 * 0,5 = 0,5 |
0,7 * 0,5 = 0,35 |
(0,7 / (0,6 + 0,8 + 0,7)) * 0,5 = 0,16667 |
Höchster gewichteter Wert/Summe der normierten Werte (= resultierender Risikoindex des Benutzerkontos) |
0,7 |
0,56 |
0,54762 |
Risikomindernde Maßnahmen
Im Rahmen des Identity Audits werden die effektiven Berechtigungen von Personen, Rollen oder Benutzerkonten anhand regulatorischer Anforderungen überprüft. Für Unternehmen kann die Verletzung von regulatorischen Anforderungen unterschiedliche Risiken bergen. Um diese Risiken zu bewerten, können an Complianceregeln, SAP Funktionen, Attestierungsrichtlinien und Unternehmensrichtlinien Risikoindizes angegeben werden. Diese Risikoindizes geben darüber Auskunft, wie riskant eine Verletzung der jeweiligen Regel, SAP Funktion oder Richtlinie für das Unternehmen ist. Sobald die Risiken erkannt und bewertet sind, können dafür risikomindernde Maßnahmen festgelegt werden.
Risikomindernde Maßnahmen sind unabhängig von den Funktionen des One Identity Manager. Sie werden nicht durch den One Identity Manager überwacht.
Ein Beispiel für eine risikomindernde Maßnahme ist die Zuweisung von Systemberechtigungen nur über authorisierte Bestellungen im IT Shop. Wenn Systemberechtigungen über IT Shop Bestellungen an die Mitarbeiter vergeben werden, kann in das Genehmigungsverfahren der Bestellung eine Regelprüfung integriert werden. Systemberechtigungen, die zu einer Regelverletzung führen würden, werden damit nicht oder nur nach einer Ausnahmegenehmigung zugewiesen. Das Risiko, dass die Regeln verletzt werden, sinkt damit.