Chat now with support
Chat mit Support

Identity Manager 9.2.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Standard-Entscheidungsverfahren

Um Standard-Entscheidungsverfahren anzuzeigen

  • Wählen Sie die Kategorie Attestierung | Basisdaten zur Konfiguration | Entscheidungsverfahren | Vordefiniert.

Für die Auswahl der verantwortlichen Attestierer sind standardmäßig die nachfolgend aufgeführten Entscheidungsverfahren bereitgestellt.

Tabelle 27: Entscheidungsverfahren für Attestierung

Bezeichnung des Verfahrens

Attestierer

AA - Attestierer der zu attestierenden Rolle

Attestierer der Organisation (Abteilung, Standort, Kostenstelle), Geschäftsrolle oder des IT Shops, wenn Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen attestiert werden.

  • Attestierer für Abteilungen, Kostenstellen und Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
  • Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.
  • Attestierer für Bestellungen müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AD - Attestierer der Abteilung des Empfängers

Attestierer der Abteilung, die dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Abteilungen müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Identität ermitteln.

AL - Attestierer des Standorts des Empfängers

Attestierer des Standorts, der dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Identität ermitteln.

AM - Manager der verbundenen Identität

Manager der Identität, die mit dem zu attestierenden Benutzerkonto verbunden ist.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

AN - Attestierer der zu attestierenden Systemberechtigung

Attestierer der Systemberechtigung oder Systemrolle, wenn Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen attestiert werden. Die Attestierer werden über die zugeordnete Leistungsposition ermittelt.

  • Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AO - Attestierer der primären Rolle des Empfängers

Attestierer der Geschäftsrolle, die dem Attestierungsobjekt primär zugeordnet ist.

Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Identität ermitteln.

AP - Attestierer der Kostenstelle des Empfängers

Attestierer der Kostenstelle, die dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Kostenstellen müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Identität ermitteln.

AR - Attestierer der zu attestierenden Complianceregel

Attestierer der Complianceregel, die attestiert wird.

  • Attestierer müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AS - Entscheider der Attestierungsrichtlinie

Alle Identitäten, die als Entscheider der Attestierungsrichtlinie zugewiesen sind.

Weitere Informationen finden Sie unter Attestierer über die Attestierungsrichtlinie ermitteln.

AT - Attestierer der zu attestierenden Organisation

Attestierer der Organisation (Abteilung, Standort, Kostenstelle), Geschäftsrolle oder des IT Shops, die/der attestiert wird.

  • Attestierer für Abteilungen, Kostenstellen und Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
  • Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.
  • Attestierer für Bestellungen müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AY - Attestierer der zu attestierenden Unternehmensrichtlinie

Attestierer der Unternehmensrichtlinie, die attestiert wird.

  • Attestierer müssen der Anwendungsrolle Identity & Access Governance | Unternehmensrichtlinien | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

CD - Errechnete Entscheidung

-

Weitere Informationen finden Sie unter Errechnete Entscheidung.

CM - Manager der attestierten Identität

Manager der Identität, die attestiert wird.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

CN - Anfechtung der Entscheidung

Identität, die attestiert wird.

Weitere Informationen finden Sie unter Attestierte Identität als Attestierer ermitteln.

CS - Identität selbst

Identität, die attestiert wird, selbst.

Weitere Informationen finden Sie unter Attestierte Identität als Attestierer ermitteln.

DM - Abteilungsleiter des Empfängers

Manager/Stellvertreter der Abteilung, wenn Identitäten oder sekundäre Mitgliedschaften in Abteilungen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

EA - Identität des Benutzerkontos

Identität, die dem zu attestierenden Benutzerkonto zugeordnet ist.

Weitere Informationen finden Sie unter An ein Benutzerkonto zugeordnete Identität als Attestierer ermitteln.

ED - Abteilungsleiter bei Attestierung einer Systemberechtigung

Abteilungsleiter der Identität, deren Systemberechtigungen attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EM - Manager der Identität bei Attestierung einer Systemberechtigung

Manager der Identität, deren Systemberechtigungen attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EN - Zielsystemverantwortliche der zu attestierenden Systemberechtigung

Zielsystemverantwortliche der Systemberechtigung, die attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EO - Produkteigner der zu attestierenden Systemberechtigung

Produkteigner, der Systemberechtigung oder der Systemrolle, die attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EX - Extern vorzunehmende Entscheidung

-

Weitere Informationen finden Sie unter Extern vorzunehmende Entscheidung.

KA - Produkteigner und zusätzliche Besitzer der Active Directory Gruppe

Produkteigner und zusätzliche Besitzer der Active Directory Gruppe, wenn Active Directory Gruppen oder Gruppenmitgliedschaften attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

LM - Manager des Standorts

Manager/Stellvertreter des Standorts, wenn Identitäten oder sekundäre Mitgliedschaften in Standorten attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

MD - Manager der Abteilung der verbundenen Identität

Manager der primären Abteilung der Identität, die mit dem zu attestierenden Benutzerkonto verbunden ist.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

MO - Manager der Geschäftsrolle

Manager/Stellvertreter der Geschäftsrolle, wenn Identitäten oder sekundäre Mitgliedschaften in Geschäftsrollen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

OA - Produkteigner

Alle Mitglieder der zugeordneten Anwendungsrolle, wenn Leistungspositionen, Systemberechtigungen oder Systemrollen attestiert werden.

Weitere Informationen finden Sie unter Produkteigner als Attestierer ermitteln.

OM - Manager einer bestimmten Rolle

Manager der im Entscheidungsworkflow festgelegten Rolle.

Weitere Informationen finden Sie unter Attestierer über eine festgelegte Rolle ermitteln.

OP - Eigentümer eines privilegierten Objektes

Alle Identitäten, die als Eigentümer der bestellten privilegierten Zugriffsanforderung ermittelt werden können.

Weitere Informationen finden Sie unter Eigentümer eines privilegierten Objektes als Attestierer ermitteln.

OR - Mitglieder einer bestimmten Rolle

Alle Identitäten, die der im Entscheidungsworkflow festgelegten Rolle sekundär zugewiesen sind.

Weitere Informationen finden Sie unter Attestierer über eine festgelegte Rolle ermitteln.

OT - Attestierer der zugeordneten Leistungsposition

Attestierer der Leistungsposition, die dem zu attestierenden Objekt zugeordnet ist.

  • Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Leistungsposition der Attestierungsobjekte ermitteln.

OW - Produkteigner eines Microsoft Teams Teams

Produkteigner der Office 365 Gruppe, die dem Attestierungsobjekt zugeordnet ist.

Weitere Informationen finden Sie unter Produkteigner als Attestierer ermitteln.

PA - Zusätzlicher Besitzer der Active Directory Gruppe

Alle Identitäten, die über den zusätzlichen Besitzer der zu attestierenden Active Directory Gruppe ermittelt werden können.

Weitere Informationen finden Sie unter Zusätzlicher Besitzer einer Active Directory Gruppe als Attestierer ermitteln.

PM - Kostenstellenverantwortliche des Empfängers

Verantwortlicher/Stellvertreter der Kostenstelle, wenn sekundäre Mitgliedschaften in Kostenstellen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

PO - Vorgeschlagener Eigentümer

Vorgeschlagener Eigentümer des Attestierungsobjekts

Weitere Informationen finden Sie unter Eigentümer der Attestierungsobjekte als Attestierer ermitteln.

PW - Eigentümer der Attestierungsrichtlinie

Eigentümer der Attestierungsrichtlinie, die ausgeführt wird.

Weitere Informationen finden Sie unter Eigentümer der Attestierungsrichtlinie ermitteln.

RE - Verantwortlicher der zu attestierenden Systemrolle

Verantwortlicher der Systemrolle, die attestiert wird.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

RM - Manager der Rolle bei Attestierung von Mitgliedschaften

Manager der zu attestierenden Rolle, wenn sekundäre Mitgliedschaften in Rollen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

RR - Manager der Rolle bei Attestierung von Rollen und Zuweisungen an Rollen

Manager der zu attestierenden Rolle.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

SO - Zielsystemverantwortliche der zu attestierenden Berechtigung

Zielsystemverantwortliche der Systemberechtigung oder des Benutzerkontos, das attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

WC - Warten auf andere Entscheidung

-

Weitere Informationen finden Sie unter Warten auf andere Entscheidung.

XM - Manager der Identität für alle Attestierungen

Manager der Identität, die über das Attestierungsobjekt ermittelt werden kann.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

Attestierer über die Attestierungsrichtlinie ermitteln

Wenn Sie die Attestierer für beliebige Objekte an einer Attestierungsrichtlinie festlegen wollen, nutzen Sie das Entscheidungsverfahren AS. Das Entscheidungsverfahren ermittelt alle Identitäten, die als Entscheider der Attestierungsrichtlinie zugewiesen sind.

Mit diesem Verfahren können Sie beliebige Objekte durch beliebige, festgelegte Identitäten attestieren lassen. Diese Identitäten müssen als Entscheider der Attestierungsrichtlinie zugewiesen sein. Die Attestierer können auch beim Erstellen von Attestierungsrichtlinien im Web Portal angegeben werden. Ausführliche Informationen dazu finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Verwandte Themen

Attestierer über die Rolle der zu attestierenden Identität ermitteln

Installierte Module:

Geschäftsrollenmodul (für Entscheidungsverfahren AO)

Wenn Sie Zuweisungen von Unternehmensressourcen zu Identitäten oder Bestellungen attestieren wollen, nutzen Sie die Entscheidungsverfahren AD, AL, AO oder AP. Die ermittelten Attestierer sind Mitglied der Anwendungsrolle Attestierer.

Attestierungsobjekte sind Identitäten (Tabelle: Person) oder Empfänger einer Bestellung (Tabelle: PersonWantsOrg). Die Entscheidungsverfahren ermitteln zu jedem Attestierungsobjekt den Attestierer der Rolle (Abteilung, Standort, Geschäftsrolle, Kostenstelle), die dem Attestierungsobjekt primär zugeordnet ist. Ist der primär zugeordneten Rolle kein Attestierer direkt zugeordnet, ermittelt das Entscheidungsverfahren den Attestierer übergeordneter Rollen. Wird auch auf diesem Weg kein Attestierer gefunden, wird der Attestierungsvorgang dem Attestierer der zugehörigen Rollenklasse zur Entscheidung vorgelegt.

Hinweis: Wenn die Attestierer über das Entscheidungsverfahren AO ermittelt werden und für die Geschäftsrollen Bottom-Up-Vererbung festgelegt ist, beachten Sie Folgendes:

  • Wenn der primär zugeordneten Geschäftsrolle kein Attestierer zugeordnet ist, werden die Attestierer der untergeordneten Geschäftsrolle ermittelt.

Verwandte Themen

Attestierer über Attestierungsobjekte ermitteln

Wenn Sie die Gültigkeit von Complianceregeln, Regelverletzungen, Unternehmensrichtlinien, Richtlinienverletzungen oder Abteilungen, Standorten, Kostenstellen oder Geschäftsrollen attestieren wollen, nutzen Sie die Entscheidungsverfahren AR, AY oder AT. Das Verfahren AT eignet sich auch, um Zuweisungen an IT Shop-Strukturen (Shops, Shoppingcenter oder Regale) zu attestieren. Um Zuweisungen von Systemberechtigungen oder Systemrollen zu Abteilungen, Standorten, Kostenstellen, Geschäftsrollen oder IT Shop-Strukturen zu attestieren, nutzen Sie die Entscheidungsverfahren AA oder AN. Die ermittelten Attestierer sind Mitglied der Anwendungsrolle Attestierer.

 

Basisobjekte der Attestierung

Verfügbar im Modul

AR

Regeln (ComplianceRule)

Regelverletzungen (PersonInNonCompliance)

Modul Complianceregeln

AY

Unternehmensrichtlinien (QERPolicy)

Richtlinienverletzungen (QERPolicyHasObject)

Modul Unternehmensrichtlinien

AT

Abteilungen (Department)

IT Shop Strukturen (ITShopOrg)

Standorte (Locality)

Geschäftsrollen (Org)

Kostenstellen (ProfitCenter)

IT Shop Vorlagen (ITShopSrc)

 

AA, AN

Zuweisungen von Systemberechtigungen oder Zielsystemgruppen an Rollen (<BaseTree>HasUNSGroupB,

<BaseTree>HasADSGroup, <BaseTree>HasEBSResp, ...)

Zuweisungen von Systemrollen an Rollen (<BaseTree>HasESet)

Zielsystem Basismodul

Die Entscheidungsverfahren ermitteln den Attestierer, der dem Attestierungsobjekt zugeordnet ist. Das Entscheidungsverfahren AA ermittelt den Attestierer über die Rolle (Abteilungen, Standorte, Geschäftsrollen, Kostenstellen) oder IT Shop Strukturen (IT Shop Vorlagen). Das Entscheidungsverfahren AN ermittelt den Attestierer über die Leistungsposition, die der Systemberechtigung beziehungsweise Zielsystemgruppe zugeordnet ist.

Für die Entscheidungsverfahren AT und AA gilt darüber hinaus: Ist dem Attestierungsobjekt kein Attestierer direkt zugeordnet, ermittelt das Entscheidungsverfahren den Attestierer übergeordneter Rollen/IT Shop Strukturen. Wird auch auf diesem Weg kein Attestierer gefunden, wird der Attestierungsvorgang dem Attestierer der zugehörigen Rollenklasse zur Entscheidung vorgelegt.

Hinweis: Wenn das Basisobjekt der Attestierung eine Geschäftsrolle oder die Zuweisung an eine Geschäftsrolle ist und für die zugehörige Rollenklasse Bottom-Up-Vererbung festgelegt ist, beachten Sie Folgendes:

  • Ist dem Attestierungsobjekt kein Attestierer direkt zugeordnet, ermittelt das Entscheidungsverfahren den Attestierer untergeordneter Rollen.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen