Im Manager erhalten Sie einen Überblick über alle dynamischen Rollen mit widersprüchlichen Einträgen in der Ausschlussliste. Das heißt, für mindestens einen Eintrag in der Ausschlussliste gilt:
-
Die Bedingung der dynamischen Rolle trifft nicht zu.
Das kann beispielsweise auftreten, wenn die Bedingung der dynamischen Rolle geändert wurde, nachdem die Identität in die Ausschlussliste eingetragen wurde.
- ODER -
-
Die ausgeschlossene Identität ist auch über einen anderen Weg an die Rolle zugewiesen.
Beispielsweise per Vererbung oder durch Direktzuweisung.
Prüfen Sie diese Einträge und korrigieren Sie die Zuweisungen.
Um widersprüchliche Einträge in der Ausschlussliste für Geschäftsrollen zu prüfen
-
Wählen Sie im Manager die Kategorie Geschäftsrollen > Fehlerdiagnose > Dynamische Rollen mit potentiell fehlerhaft ausgeschlossenen Identitäten.
-
Wählen Sie in der Ergebnisliste die dynamische Rolle.
-
Wählen Sie die Aufgabe Identitäten ausschließen.
In der Ausschlussliste sehen Sie, auf welche Identitäten die genannten Bedingungen zutreffen.
Ausführliche Informationen zum Bearbeiten der Ausschlussliste von dynamischen Rollen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Verwandte Themen
HINWEIS: Diese Funktion steht zur Verfügung, wenn das Modul Attestierung vorhanden ist.
Der Zertifizierungsstatus von Geschäftsrollen kann manuell oder durch regelmäßige Attestierungen gesetzt werden. Um den Zertifizierungsstatus durch Attestierungen zu setzen, konfigurieren Sie die Attestierungsrichtlinien entsprechend.
Um den Zertifizierungsstatus einer Geschäftsrolle manuell zu ändern
-
Bearbeiten Sie im Manager die Stammdaten der Geschäftsrolle.
-
Wählen Sie im Eingabefeld Zertifizierungsstatus den gewünschten Wert.
- Speichern Sie die Änderungen.
Um den Zertifizierungsstatus von Geschäftsrollen durch Attestierungen zu ändern
-
Wählen Sie im Manager die Kategorie Attestierung > Attestierungsrichtlinien.
-
Wählen Sie in der Ergebnisliste die Attestierungsrichtlinie, durch deren Attestierungsläufe der Zertifizierungsstatus angepasst werden soll.
-
Wenn nach einer genehmigten Attestierung der Zertifizierungsstatus auf Zertifziert geändert werden soll, aktivieren Sie Zertifizierungsstatus auf "Zertifiziert" setzen.
-
Wenn nach einer abgelehnten Attestierung der Zertifizierungsstatus auf Abgelehnt geändert werden soll, aktivieren Sie Zertifizierungsstatus auf "Abgelehnt" setzen.
- Speichern Sie die Änderungen.
Der One Identity Manager stellt Standardverfahren bereit, über welche die Stammdaten von Geschäftsrollen, die neu in die One Identity Manager-Datenbank aufgenommen wurden, zeitnah durch deren Manager attestiert und zertifiziert werden. Die Attestierung wird nur für Geschäftsrollen mit dem Zertifizierungsstatus Neu durchgeführt. Wenn die Attestierung genehmigt wird, wird der Zertifizierungsstatus der attestierten Geschäftsrolle auf Zertifiziert gesetzt, andernfalls auf Abgelehnt. Wurde die Attestierung genehmigt, wird die Option Keine Vererbung an Identitäten deaktiviert.
Für Geschäftsrollen, die mit dem Werkzeug Analyzer angelegt wurden, wird die Attestierung und Zertifizierung automatisch gestartet, wenn der Konfigurationsparameter QER | Attestation | OrgApproval aktiviert ist.
HINWEIS: Wenn die Attestierung abgelehnt wurde, wird nur der Zertifizierungsstatus geändert. Weitere Verhaltensänderungen, beispielsweise in der Vererbungsberechnung, sind damit nicht verbunden und können unternehmensspezifisch implementiert werden.
Diese Funktion steht zur Verfügung, wenn das Zielsystem Basismodul vorhanden ist. Ausführliche Informationen zur Zertifizierung neuer Rollen und Organisationen finden Sie im One Identity Manager Administrationshandbuch für Attestierungen.
Detaillierte Informationen zum Thema
One Identity Manager stellt verschiedene Berichte zur Verfügung, in denen Informationen über das ausgewählte Basisobjekt und seine Beziehungen zu anderen Objekten der One Identity Manager-Datenbank aufbereitet sind. Für Geschäftsrollen stehen folgende Berichte zur Verfügung.
HINWEIS: Abhängig von den vorhandenen Modulen können weitere Berichte zur Verfügung stehen.
Tabelle 17: Berichte über Geschäftsrollen
Übersicht aller Zuweisungen |
Der Bericht ermittelt alle Rollen, in denen die Identitäten der ausgewählten Geschäftsrolle ebenfalls Mitglied sind. |
Historische Mitgliedschaften anzeigen |
Der Bericht listet alle Mitglieder der ausgewählten Geschäftsrolle und den Zeitraum ihrer Mitgliedschaft auf. |
Zu entscheidende Produkte anzeigen |
Der Bericht zeigt für eine Geschäftsrolle alle Produkte, deren Bestellungen durch Mitglieder der Geschäftsrolle genehmigt werden können. |
Geschäftsrollen mit hohem Risikoindex |
Der Bericht listet alle Geschäftsrollen mit einem Risikoindex gleich oder höher als den konfigurierbaren Risikoindex. Das Ergebnis kann auf eine bestimmte Rollenklasse eingeschränkt werden. Den Bericht finden Sie im Manager in der Kategorie Mein One Identity Manager. |
Verwandte Themen
Die Gestaltung von Geschäftsrollen kann auf zwei Wegen erfolgen:
-
Rollenmodellierung wie unter Geschäftsrollen verwalten beschrieben.
-
Analyse der existierenden Berechtigungen, das sogenannte Role Mining.
Mit dem Programm Analyzer stellt der One Identity Manager eigenes Werkzeug für die Analyse der Benutzerkonten und Berechtigungen zur Verfügung. Der Analyzer unterstützt die von Geschäftsrollen genauso wie die Analyse der Datenqualität in Bezug auf die Frage: Wie gut sind die Berechtigungsdaten für eine teilautomatisierte Rollenbildung geeignet?
Der Analyzer bietet:
-
die automatische Analyse von Berechtigungszuordnungen auf Basis von Clusteranalyse Algorithmen mit unterschiedlichen Wichtungen
-
die automatische Analyse existierender Strukturen und der Berechtigungen der dort zugeordneten Identitäten
-
eine manuelle Analyse bestimmter Identitätengruppen zur Rollenbildung
Ziel der Rollenbildung ist es, direkte Berechtigungen, die bisher in einzelnen Anwendungssystemen für Benutzer vergeben wurden, durch indirekte zu ersetzen. Dabei können Berechtigungen, die Benutzer über die Zugehörigkeit in einer Rolle erhalten, auch Anwendungssystem übergreifend definiert werden. Das Ziel des Analyzers ist dabei nicht nur die reine Rollenbildung, sondern auch die Einordnung der Rollen in ein einfach zu administrierendes Hierarchiesystem. So kann der Verwaltungsaufwand weiter reduziert und die Sicherheit bei der Berechtigungsvergabe erhöht werden.
Um das Role Mining im One Identity Manager zu nutzen
HINWEIS: Um den Analyzer für die Analyse von Berechtigungen zu nutzen, muss mindestens das Zielsystem Basismodul vorhanden sein.