Berichte über Attestierungen
One Identity Manager stellt verschiedene Berichte zur Verfügung, in denen Informationen über das ausgewählte Basisobjekt und seine Beziehungen zu anderen Objekten der One Identity Manager-Datenbank aufbereitet sind. Über Attestierungen können folgende Berichte erstellt werden.
Tabelle 41: Berichte über Attestierungen
Übersicht der Ergebnisse eines Attestierungslaufs |
Attestierungsrichtlinie |
Dieser Bericht zeigt die Ergebnisse eines Attestierungslaufs für die gewählte Attestierungsrichtlinie. |
Übersicht der Ergebnisse eines Attestierungslaufs (einschließlich Historie) |
Attestierungsrichtlinie |
Dieser Bericht zeigt die Ergebnisse eines Attestierungslaufs für die gewählte Attestierungsrichtlinie, einschließlich der Attestierungshistorie. |
Detaillierter Status eines Attestierungslaufs |
Attestierungsrichtlinie |
Dieser Bericht zeigt den detaillierten Status eines Attestierungslaufs für die gewählte Attestierungsrichtlinie, einschließlich des voraussichtlichen Abschlussdatums. |
Detaillierter Status eines Attestierungslaufs (einschließlich Historie) |
Attestierungsrichtlinie |
Dieser Bericht zeigt den detaillierten Status eines Attestierungslaufs für die gewählte Attestierungsrichtlinie, einschließlich des voraussichtlichen Abschlussdatums und der Attestierungshistorie. |
Übersicht der Ergebnisse eines Attestierungslaufs |
Richtlinienverbund |
Dieser Bericht zeigt die Ergebnisse eines Attestierungslaufs für die Attestierungsrichtlinien aus dem gewählten Richtlinienverbund. |
Standardattestierungen
Der One Identity Manager stellt für verschiedene Datensituationen Standard-Attestierungsverfahren und Standard-Attestierungsrichtlinien bereit.
Datensituationen für Standardattestierungen:
-
Systemberechtigungen, die eine Identität besitzt
-
Systemberechtigungen, die an Systemberechtigungen zugewiesen sind
-
Systemberechtigungen, die an hierarchische Rollen zugewiesen sind
-
Systemrollen, die einer Identität zugewiesen sind
-
Unternehmensressourcen, die an Systemrollen zugewiesen sind
-
Systemrollen, die an hierarchische Rollen zugewiesen sind
-
Mitgliedschaften in Geschäftsrollen und Anwendungsrollen
-
Stammdaten eines neuen One Identity Manager Benutzers
-
Stammdaten vorhandener One Identity Manager Benutzer
-
Attestierung des Zugangs zu OneLogin Anwendungen
-
Attestierung von ungenutzten Zugängen zu OneLogin Anwendungen
Für die Attestierung von Identitätenstammdaten werden die erforderlichen Attestierungsrichtlinien standardmäßig bereitgestellt. Sie können diese Attestierungsrichtlinien ohne weitere Anpassungen nutzen. Voraussetzungen und Ablauf der Attestierung von Identitätenstammdaten ist im Abschnitt Attestierung und Rezertifizierung von Benutzern beschrieben.
Für die Rezertifizierung ungenutzter Berechtigungen im Rahmen von Behavior Driven Governance werden Standard-Attestierungsrichtlinien und Standard-Attestierungsverfahren bereitgestellt. Ausführliche Informationen, wie Sie diese nutzen, finden Sie im One Identity Manager Administrationshandbuch für Behavior Driven Governance.
Mit den Standard-Attestierungsverfahren für die übrigen Datensituationen können Sie auf einfachem Wege im Web Portal Attestierungsrichtlinien erstellen. Sie können auch die mitgelieferten Standard-Attestierungsrichtlinien ohne weitere Anpassungen nutzen. Darüber hinaus können Sie konfigurieren, wie mit abgelehnten Attestierungen weiter verfahren werden soll, die auf diesen Standard-Attestierungsverfahren basieren. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren.
Um ein Auswahl an Identitäten mit all ihren Berechtigungen und Mitgliedschaften zu attestieren, werden ein Standard-Richtlinienverbund und eine Standard-Stichprobe bereitgestellt. Der Richtlinienverbund fasst alle dafür benötigten Standard-Attestierungsrichtlinien zusammen. Weitere Informationen finden Sie unter Stichprobenattestierung von Identitäten und ihren Berechtigungen konfigurieren.
Entzug von Berechtigungen konfigurieren
Wenn es Ihre spezielle Datensituation zulässt, können abgelehnte Berechtigungen sofort im Anschluss an die Attestierung durch den One Identity Manager entzogen werden.
Um abgelehnte Berechtigungen automatisch zu entziehen
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | AutoRemovalScope und die untergeordneten Konfigurationsparameter.
-
Wenn die Berechtigungen über IT Shop Bestellungen erworben wurden, legen Sie fest, ob diese Bestellungen abbestellt oder abgebrochen werden sollen. Aktivieren Sie dafür den Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName und wählen Sie einen Wert.
-
Abort: Bestellungen werden abgebrochen. Sie durchlaufen damit keinen Abbestellworkflow. Die bestellten Berechtigungen werden ohne zusätzliche Prüfung entzogen.
-
Unsubscribe: Bestellungen werden abbestellt. Sie durchlaufen den an den Entscheidungsrichtlinien hinterlegten Abbestellworkflow. Der Entzug der Berechtigung kann damit zusätzlich geprüft werden.
Wenn die Abbestellung abgelehnt wird, wird die Berechtigung nicht entzogen, obwohl die Attestierung abgelehnt ist.
Wenn der Konfigurationsparameter deaktiviert ist, werden die Bestellungen abgebrochen.
Wichtig: Wenn einer Identität Rollenmitgliedschaften oder Systemrollen entzogen werden, verliert sie dadurch die abgelehnte Berechtigung. Sie verliert aber auch alle anderen Unternehmensressourcen, die ihr über die Rolle vererbt wurden. Das können weitere Systemberechtigungen oder Kontendefinitionen sein. Gegebenenfalls werden ihr dadurch zulässige Systemberechtigungen entzogen oder Benutzerkonten gelöscht!
Prüfen sie, ob Ihre Datensituation den automatischen Entzug von Berechtigungen zulässt, bevor Sie die Konfigurationsparameter unter QER | Attestation | AutoRemovalScope aktivieren.
Der automatische Entzug von Berechtigungen wird durch einen zusätzlichen Entscheidungsschritt mit dem Entscheidungsverfahren EX in den Standard-Entscheidungsworkflows angestoßen.
Ablauf der Attestierung mit anschließendem Entzug abgelehnter Berechtigungen:
-
Eine Attestierung mit einem Standard-Attestierungsverfahren wird durchgeführt.
-
Der Attestierer lehnt die Attestierung ab. Der Entscheidungsschritt wird negativ entschieden und die Entscheidung an die nächste Entscheidungsebene mit dem Entscheidungsverfahren EX übergeben.
-
Der Entscheidungsschritt löst das Ereignis AUTOREMOVE aus. Dadurch wird der Prozess VI_Attestation_AttestationCase_AutoRemoveMemberships ausgeführt.
-
Der Prozess führt das Skript VI_AttestationCase_RemoveMembership aus. Dieses entfernt die betroffene Berechtigung abhängig von den aktivierten Konfigurationsparametern.
-
Das Skript setzt den Status des Entscheidungsschritts auf Abgelehnt. Dadurch wird der gesamte Attestierungsvorgang endgültig abgelehnt.
-
Aufträge zur Neuberechnung der Vererbung werden in die DBQueue eingestellt.
Detaillierte Informationen zum Thema
Attestierung von Systemberechtigungen
Installierte Module: |
Zielsystem Basismodul |
Wenn Sie Mitgliedschaften in Systemberechtigungen attestieren, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | GroupMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart das Benutzerkonto Mitglied in der Systemberechtigung wurde.
Tabelle 42: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung
QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDirect |
Die direkte Mitgliedschaft des Benutzerkontos in der Systemberechtigung wird entfernt. |
QER | Attestation | AutoRemovalScope | GroupMembership | RemovePrimaryRole |
Wurde die Mitgliedschaft in der Systemberechtigung über eine primäre Rolle vererbt, wird der Identität diese Rolle entzogen.
Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat. |
QER | Attestation | AutoRemovalScope | GroupMembership | RemoveRequestedRole |
Wurde die Mitgliedschaft in der Systemberechtigung über eine bestellte Rolle vererbt, wird die Bestellung der Rolle abgebrochen oder abbestellt.
Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.
Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren. |
QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDelegatedRole |
Wurde die Mitgliedschaft in der Systemberechtigung über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle abgebrochen oder abbestellt.
Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.
Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren. |
QER | Attestation | AutoRemovalScope | GroupMembership | RemoveRequested |
Wurde die Mitgliedschaft in der Systemberechtigung über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.
Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren. |
QER | Attestation | AutoRemovalScope | GroupMembership | RemoveSystemRole |
Systemrollen, welche die Systemberechtigung enthalten, werden der Identität entzogen.
Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Systemrolle erhalten hat.
Dieser Konfigurationsparameter ist nur verfügbar, wenn das Systemrollenmodul installiert ist. |
QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDirectRole |
Wurde die Mitgliedschaft in der Systemberechtigung über eine sekundäre Rolle (Organisation oder Geschäftsrolle) vererbt, wird die Mitgliedschaft der Identität in dieser Rolle entfernt.
Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat. |
QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDynamicRole |
Wurde die Mitgliedschaft in der Systemberechtigung über eine dynamische Rolle vererbt, wird die Identität aus der dynamischen Rolle ausgeschlossen.
Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat. |
Wenn Sie Zuweisungen zu Systemberechtigungen attestieren, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | UNSGroupInUNSGroup konfigurieren.
Tabelle 43: Wirkung des Konfigurationsparameters bei abgelehnter Attestierung
QER | Attestation | AutoRemovalScope | UNSGroupInUNSGroup | RemoveDirect |
Die Zuweisung der Systemberechtigung an eine Systemberechtigung wird entfernt. |
Wenn Sie Zuweisungen von Systemberechtigungen an hierarchische Rollen attestieren, können Sie den automatischen Entzug der Systemberechtigungen über folgende Konfigurationsparameter konfigurieren.
Tabelle 44: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung
QER | Attestation | AutoRemovalScope | DepartmentHasUNSGroup | RemoveDirect |
Die Zuweisung der Systemberechtigung an eine Abteilung wird entfernt.
Damit wird allen Identitäten, die Zuweisungen von dieser Abteilung erben, die Systemberechtigung entzogen. |
QER | Attestation | AutoRemovalScope | ProfitCenterHasUNSGroup | RemoveDirect |
Die Zuweisung der Systemberechtigung an eine Kostenstelle wird entfernt.
Damit wird allen Identitäten, die Zuweisungen von dieser Kostenstelle erben, die Systemberechtigung entzogen. |
QER | Attestation | AutoRemovalScope | LocalityHasUNSGroup | RemoveDirect |
Die Zuweisung der Systemberechtigung an einen Standort wird entfernt.
Damit wird allen Identitäten, die Zuweisungen von diesem Standort erben, die Systemberechtigung entzogen. |
QER | Attestation | AutoRemovalScope | OrgHasUNSGroup | RemoveDirect |
Die Zuweisung der Systemberechtigung an eine Geschäftsrolle wird entfernt.
Damit wird allen Identitäten, die Zuweisungen von dieser Geschäftsrolle erben, die Systemberechtigung entzogen. |