Chat now with support
Chat mit Support

Identity Manager 9.1.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Zertifizierung neuer Rollen und Organisationen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Verantwortliche der Attestierungsobjekte als Attestierer ermitteln

Wenn Sie Systemberechtigungen und die ihnen zugewiesenen Benutzerkonten attestieren wollen, nutzen Sie die Entscheidungsverfahren ED, EM, EN, EO oder SO. Für die Attestierung von Benutzerkonten nutzen Sie die Entscheidungsverfahren AM, MD oder SO. Attestierungsobjekte sind Benutzerkonten oder Systemberechtigungen und die ihnen zugewiesenen Benutzerkonten sowie Systemrollen, denen Systemberechtigungen oder Systemrollen zugewiesen sind.

Das Entscheidungsverfahren KA nutzen Sie für die Attestierung von Active Directory Gruppen und die Gruppenmitgliedschaften. Dieses Entscheidungsverfahren ist nur verfügbar, wenn das Active Roles Modul vorhanden ist.

Die Entscheidungsverfahren ermitteln die folgenden Attestierer:

 

Basisobjekte der Attestierung

Attestierer

Verfügbar im Modul

AM

Benutzerkonten (UNSAccount)

Manager der Person, mit der das Benutzerkonto verbunden ist.

Zielsystem Basismodul

ED

Benutzerkonten: Zuweisungen an Systemberechtigungen (UNSAccountInUNSGroup)

Abteilungsleiter (und dessen Stellvertreter) der Person, mit der das Benutzerkonto verbunden ist. Es gilt die primär zugewiesene Abteilung.

Zielsystem Basismodul

EM

Benutzerkonten: Zuweisungen an Systemberechtigungen (UNSAccountInUNSGroup)

Manager der Person, mit der das Benutzerkonto verbunden ist.

Zielsystem Basismodul

EN

Benutzerkonten: Zuweisungen an Systemberechtigungen (UNSAccountInUNSGroup)

Systemberechtigungen (UNSGroup)

Zielsystemverantwortliche des Zielsystembereichs, zu dem die Systemberechtigung gehört.

Zielsystem Basismodul

EO

Systemrollen: Zuweisungen (ESetHasEntitlement)

alle Zuweisungen von Benutzerkonten an Systemberechtigungen; beispielsweise Benutzerkonten: Zuweisungen an Systemberechtigungen (UNSAccountInUNSGroup) oder SAP Benutzerkonten: Zuweisungen an Rollen (SAPUserInSAPRole)

alle Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen; beispielsweise Rollen und Organisationen: Zuweisungen Active Directory Gruppen (BaseTreeHasADSGroup) oder Standorte: Zuweisungen EBS Berechtigungen (LocalityHasEBSResp)

Produkteigner der Leistungsposition, die der Systemberechtigung oder der Systemrolle zugeordnet ist.

Zielsystem Basismodul oder Systemrollenmodul

MD

Benutzerkonten (UNSAccount)

Abteilungsleiter (und dessen Stellvertreter) der Person, mit der das Benutzerkonto verbunden ist. Es gilt die primär zugewiesene Abteilung.

Zielsystem Basismodul

SO

Benutzerkonten: Zuweisungen an Systemberechtigungen (UNSAccountInUNSGroup)

Benutzerkonten (UNSAccount)

Systemberechtigungen: Zuweisungen an Systemberechtigungen (UNSGroupInUNSGroup)

Zielsystemverantwortliche des Zielsystembereichs, zu dem die Systemberechtigung oder das Benutzerkonto gehört.

Zielsystem Basismodul

KA

Active Directory Gruppen (ADSGroup)

Active Directory Benutzerkonten: Zuweisungen Gruppe (ADSAccountInADSGroup)

Benutzerkonten: Zuweisungen an Systemberechtigungen (UNSAccountInUNSGroup)

Systemberechtigungen (UNSGroup)

Produkteigner und zusätzliche Besitzer der Active Directory Gruppe.

Wenn die Gruppen automatisch in den IT Shop aufgenommen wurden, werden die Kontomanager als Produkteigner ermittelt.

Die zusätzlichen Besitzer der Active Directory Gruppen werden nur ermittelt, wenn der Konfigurationsparameter TargetSystem | ADS | ARS_SSM aktiviert ist.

Ausführliche Informationen zu dieser Funktion finden Sie im One Identity Manager Administrationshandbuch für One Identity Active Roles Integration.

Active Roles Modul

Attestierer über eine festgelegte Rolle ermitteln

Wenn die Attestierer für beliebige Objekte in einer bestimmten Rolle festgelegt sind, nutzen Sie die Entscheidungsverfahren OR oder OM. Mit diesen Entscheidungsverfahren können Sie beliebige Objekte durch Personen einer beliebigen Rolle attestieren lassen. Im Entscheidungsschritt legen Sie die Rolle fest, über welche die Attestierer ermittelt werden sollen. Die Entscheidungsverfahren ermitteln folgende Attestierer.

 

Auswählbare Rollen

Attestierer

OM

Abteilungen (Department)

Kostenstellen (ProfitCenter)

Standorte (Locality)

Geschäftsrollen (Org)

Manager und Stellvertreter der am Entscheidungsschritt festgelegten Rolle

OR

Abteilungen (Department)

Kostenstellen (ProfitCenter)

Standorte (Locality)

Geschäftsrollen (Org)

Anwendungsrollen (AERole)

Alle sekundären Mitglieder der am Entscheidungsschritt festgelegten Rolle

Produkteigner als Attestierer ermitteln

Wenn Produkteigner als Attestierer ermittelt werden sollen, nutzen Sie das Entscheidungsverfahren OA. Es können damit folgende Objekte attestiert werden:

  • Leistungspositionen

  • Systemberechtigungen

  • Zuweisungen von Systemberechtigungen an Benutzerkonten oder Systemberechtigungen

  • Zuweisungen von Systemrollen an Personen

Voraussetzungen:

  • Den Systemberechtigungen und Systemrollen muss eine Leistungsposition zugeordnet sein.
  • Der Leistungsposition muss eine Anwendungsrolle für Produkteigner zugeordnet sein.

Es werden alle Personen als Attestierer ermittelt, die der zugeordneten Anwendungsrolle zugewiesen sind.

Eigentümer eines privilegierten Objektes als Attestierer ermitteln

Installierte Module: Privileged Account Governance Modul

Wenn Sie privilegierte Objekte eines Privileged Account Management Systems, wie beispielsweise PAM Assets oder PAM Verzeichniskonten, durch deren Eigentümer attestieren lassen wollen, nutzen Sie das Entscheidungsverfahren OP. Die Eigentümer attestieren den möglichen Zugriff von Benutzern auf diese privilegierten Objekte. Die Eigentümer der privilegierten Objekte müssen der Anwendungsrolle Privileged Account Governance | Asset- und Konteneigentümer oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen