Ausnahmegenehmiger ermitteln
Eine Bestellung, die eine Regelverletzung zur Folge hat, kann per Ausnahmegenehmigung dennoch genehmigt werden.
Um Ausnahmegenehmigungen für Bestellungen mit Regelverletzungen zu ermöglichen
-
Aktivieren Sie an den Complianceregeln die Option Ausnahmegenehmigung möglich und weisen Sie Ausnahmegenehmiger zu.
Weitere Informationen finden Sie imOne Identity Manager Administrationshandbuch für Complianceregeln.
-
Fügen Sie in den Entscheidungsworkflow einen Entscheidungsschritt mit dem Verfahren OC oder OH ein. Verbinden Sie diese Entscheidungsebene mit der Entscheidungsebene für die Regelprüfung an dem Verbindungspunkt für die negative Entscheidung.
Hinweis:
-
Wenden Sie diese Entscheidungsverfahren nur unmittelbar nach einer Entscheidungsebene mit dem Entscheidungsverfahren CR an.
-
Pro Entscheidungsworkflow kann nur ein Entscheidungsschritt mit den Entscheidungsverfahren OC oder OH definiert werden.
-
Wenn der Konfigurationsparameter QER | ComplianceCheck | EnableITSettingsForRule aktiviert ist, können Sie über die IT Shop Eigenschaften der Regeln einstellen, welche Regelverletzungen einem Ausnahmegenehmiger vorgelegt werden. Aktivieren oder deaktivieren Sie dafür die Option Explizite Ausnahmegenehmigung.
Weitere Informationen finden Sie unter Explizite Ausnahmegenehmigung.
Tabelle 46: Entscheidungsverfahren für Ausnahmegenehmigungen
OC (Ausnahmegenehmiger der verletzten Regeln) |
Die Entscheidung wird von den Ausnahmegenehmigern der verletzten Regel getroffen. Da mit einer Bestellung durchaus mehrere Regeln verletzt werden können, wird die Bestellung allen Ausnahmegenehmigern parallel vorgelegt. Eine Ablehnung der Ausnahmegenehmigung durch einen der Ausnahmegenehmiger führt zur Ablehnung der Bestellung. |
OH (Ausnahmegenehmiger der schwersten Regelverletzung) |
Die Entscheidung wird durch die Ausnahmegenehmiger der Regel mit dem höchsten Gefährdungsgrad getroffen. Damit kann bei Verletzung mehrerer Regeln durch eine Bestellung das Verfahren der Ausnahmegenehmigung beschleunigt werden.
Für dieses Entscheidungsverfahren stellen Sie sicher, dass:
-
der Schweregrad in den Bewertungskriterien aller Complianceregeln festgelegt ist,
-
die Ausnahmegenehmiger für die schwerste Regelverletzung in allen betroffenen Regeln zu den Ausnahmegenehmigern gehören. |
Beispiel
Durch die Bestellung einer Active Directory Gruppenmitgliedschaft werden vier verschiedene Complianceregeln verletzt. An allen Complianceregeln ist der Zielsystemverantwortliche der Active Directory Domäne als Ausnahmegenehmiger eingetragen.
Mit dem Entscheidungsverfahren OC muss der Zielsystemverantwortliche Ausnahmegenehmigungen für alle vier Complianceregeln erteilen.
Mit dem Entscheidungsverfahren OH bekommt der Zielsystemverantwortliche die Bestellung nur für die Complianceregel mit dem höchsten Schweregrad vorgelegt. Seine Entscheidung wird für die übrigen verletzten Regeln automatisch nachgenutzt.
Abbildung 8: Beispiel für einen Entscheidungsworkflow mit Regelprüfung und Ausnahmegenehmigung
Ablauf einer Regelprüfung mit Ausnahmegenehmigung
-
Wird bei einer Regelprüfung eine Regelverletzung festgestellt, wird der Entscheidungsschritt automatisch negativ entschieden. Die Bestellung wird an die Entscheider der nächsten Entscheidungsebene zur Entscheidung übergeben.
-
Es werden die Ausnahmegenehmiger entsprechend dem angegebenen Entscheidungsverfahren ermittelt.
-
Wird eine Ausnahmegenehmigung erteilt, wird die Bestellung genehmigt und zugewiesen.
-
Wird keine Ausnahmegenehmigung erteilt, wird die Bestellung abgelehnt.
Hinweis:
-
Entgegen dem sonst angewendeten Verantwortlicher-Stellvertreter-Prinzip ist der Stellvertreter eines Ausnahmegenehmigers selbst nicht berechtigt eine Ausnahmegenehmigung zu erteilen.
-
Für Ausnahmegenehmiger können keine Fallback-Entscheider ermittelt werden. Wenn kein Ausnahmegenehmiger ermittelt werden kann, wird die Bestellung abgebrochen.
-
Die zentrale Entscheidergruppe kann keine Ausnahmegenehmigungen erteilen.
Einschränkung der Ausnahmegenehmiger
Standardmäßig können Ausnahmegenehmiger auch über Bestellungen entscheiden, in denen sie selbst Besteller (UID_PersonInserted) oder Empfänger (UID_PersonOrdered) sind. Um das zu verhindern, legen Sie das gewünschte Verhalten an den folgenden Konfigurationsparametern und am Entscheidungsschritt fest.
-
Konfigurationsparameter QER | ComplianceCheck | DisableSelfExceptionGranting
-
Konfigurationsparameter QER | ITShop | PersonOrderedNoDecideCompliance
-
Konfigurationsparameter QER | ITShop | PersonInsertedNoDecideCompliance
-
Option Entscheidung durch betroffene Identität am Entscheidungsschritt zur Ermittlung der Ausnahmegenehmiger
Wenn Besteller oder Entscheider keine Ausnahmegenehmigungen erteilen dürfen, werden deren Hauptidentität und alle ihre Subidentitäten aus dem Kreis der Ausnahmegenehmiger entfernt.
Zusammenfassung der Konfigurationsmöglichkeiten
Ein Besteller kann für eigene Bestellungen Ausnahmegenehmigungen erteilen, wenn:
- Konfigurationsparameter PersonInsertedNoDecideCompliance: deaktiviert
Ein Empfänger kann für eigene Bestellungen Ausnahmegenehmigungen erteilen, wenn:
Ein Besteller kann keine Ausnahmegenehmigungen erteilen, wenn:
Ein Empfänger kann keine Ausnahmegenehmigungen erteilen, wenn:
Verwandte Themen
Einschränkung der Ausnahmegenehmiger einrichten
Um zu verhindern, dass die Empfänger von Bestellungen als Ausnahmegenehmiger ermittelt werden
Dieser Konfigurationsparameter wirkt
-
bei der Ausnahmegenehmigung von Bestellungen und
-
bei der zyklischen Regelprüfung. Ausführliche Informationen zur zyklischen Regelprüfung finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.
- ODER -
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | PersonOrderedNoDecideCompliance.
Dieser Konfigurationsparameter wirkt
Um zu verhindern, dass die Besteller als Ausnahmegenehmiger ermittelt werden
Für einzelne Entscheidungsworkflows können Sie Ausnahmen von der generellen Festlegung an den Konfigurationsparametern PersonInsertedNoDecideCompliance und PersonOrderedNoDecideCompliance zulassen. Nutzen Sie diese Möglichkeit, wenn die Besteller oder die Empfänger von Bestellungen nur für bestimmte Bestellungen selbst Ausnahmegenehmigungen erteilen dürfen.
Um im Einzelfall zuzulassen, dass der Besteller oder Empfänger einer Bestellung als Ausnahmegenehmiger ermittelt wird
Verwandte Themen
Explizite Ausnahmegenehmigung
Wenn der Konfigurationsparameter QER | ComplianceCheck | EnableITSettingsForRule aktiviert ist, können an Complianceregeln zusätzliche Eigenschaften erfasst werden, die bei der Regelprüfung von Bestellungen berücksichtigt werden.
Mit der IT Shop Eigenschaft Explizite Ausnahmegenehmigung bestimmen Sie, ob erneute Regelverletzungen einem Ausnahmegenehmiger vorgelegt werden oder ob bereits vorhandene Ausnahmegenehmigungen nachgenutzt werden sollen.
Tabelle 47: Zulässige Werte
aktiviert |
Eine erkannte Regelverletzung wird immer zur Ausnahmegenehmigung vorgelegt, auch wenn es bereits eine genehmigte Ausnahme aus einer früheren Verletzung der Regel gibt. |
deaktiviert |
Eine erkannte Regelverletzung wird nicht erneut zur Ausnahmegenehmigung vorgelegt, wenn es bereits eine genehmigte Ausnahme aus einer früheren Verletzung der Regel gibt. Diese Ausnahmegenehmigung wird nachgenutzt und für die erkannte Regelverletzung automatisch eine Ausnahme zugelassen. |
Werden durch eine Bestellung mehrere Regeln verletzt und ist für eine dieser Regeln die Eigenschaft Explizite Ausnahmegenehmigung aktiviert, so wird die Bestellung den Ausnahmegenehmigern aller verletzten Regeln zur Entscheidung vorgelegt.
Regeln, für die die Option Explizite Ausnahmegenehmigung gesetzt ist, führen dann zu einer erneuten Ausnahmegenehmigung, wenn
Im Fall a wird die Bestellung für den IT Shop-Kunden den Ausnahmegenehmigern vorgelegt. Wird die Bestellung genehmigt, gilt bei der nächsten Bestellung Fall b. Im Fall b muss jede Bestellung für den IT Shop-Kunden durch den Ausnahmegenehmiger entschieden werden, auch wenn die Bestellung selbst nicht zur Regelverletzung führt. Sie erreichen damit, dass Zuweisungen für Identitäten, für die Ausnahmen genehmigt wurden, bei jeder neuen Bestellung überprüft und erneut genehmigt werden.
Ausführliche Informationen zu Ausnahmegenehmigungen finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.