Wenn Sie Mitgliedschaften in Anwendungsrollen attestieren, können Sie den automatischen Entzug der Anwendungsrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | AERoleMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person Mitglied in der Anwendungsrolle wurde.
Konfigurationsparameter |
Wirkung bei Aktivierung |
---|---|
QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDirectRole |
Die sekundäre Mitgliedschaft der Person in der Anwendungsrolle wird entfernt. Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat. Mitgliedschaften in dynamischen Rollen werden dadurch nicht entfernt. |
QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveRequestedRole |
Hat die Person die Anwendungsrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt. Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat. Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen. |
QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDelegatedRole |
Wurde die Anwendungsrolle an die Person delegiert, wird die Delegierung abgebrochen oder abbestellt. Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat. Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen. |
QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDynamicRole |
Die Person wird aus der dynamischen Rolle der Anwendungsrolle ausgeschlossen. Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat. Auf anderem Weg entstandene Mitgliedschaften in der Anwendungsrolle werden dadurch nicht entfernt |