Chat now with support
Chat mit Support

Identity Manager 9.2.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Selbstregistrierung neuer Benutzer im Web Portal

Noch nicht registrierte Benutzer haben die Möglichkeit sich für die Nutzung des Web Portals selbst zu registrieren. Diese Benutzer können sich am Web Portal anmelden, sobald die verantwortlichen Identitäten die Stammdaten des Benutzers attestiert haben und die Benutzer ein Kennwort gesetzt haben. In der One Identity Manager-Datenbank wird eine externe Identität angelegt.

Ablauf der Attestierung:

  1. Der Benutzer meldet sich erstmalig am Web Portal an und erfasst die benötigten Stammdaten.

    Eine neue Identität wird in der One Identity Manager-Datenbank angelegt mit den Eigenschaften:

    Tabelle 51: Eigenschaften einer neu angelegten Identität

    Eigenschaft

    Wert

    Zertifizierungsstatus

    Neu

    Extern

    aktiviert

    Kontakt-E-Mail-Adresse

    E-Mail-Adresse, an die der Bestätigungslink geschickt wird.

    Dauerhaft deaktiviert

    aktiviert

    Keine Vererbung

    aktiviert

  2. Die Attestierung startet automatisch.

    Genutzte Attestierungsrichtlinie: Zertifizierung neuer Benutzer

    Hinweis: Die Attestierung startet nur dann automatisch, wenn der Konfigurationsparameter QER | Attestation | UserApproval aktiviert ist. Andernfalls bleibt der neue Benutzer dauerhaft deaktiviert, bis ein Verantwortlicher die Identitätenstammdaten manuell ändert.
  3. Die Attestierer werden ermittelt.

    Wirksame Entscheidungsrichtlinie: Zertifizierung von Benutzern

  4. Wenn der Konfigurationsparameter QER | Attestation | ApproveNewExternalUsers aktiviert ist und der Wert 1 eingestellt ist, wird der Attestierungsvorgang den Mitgliedern der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer vorgelegt.

    1. Wenn ein Attestierer für externe Benutzer die Attestierung ablehnt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften der Identität werden in der Datenbank aktualisiert.
      Tabelle 52: Eigenschaften einer externen Identität mit abgelehnter Attestierung

      Eigenschaft

      Wert

      Erläuterung

      Zertifizierungsstatus

      Abgelehnt

       

      Extern

      aktiviert

       

      Dauerhaft deaktiviert

      aktiviert

      Der Benutzer kann sich nicht am Web Portal anmelden.

      Keine Vererbung

      aktiviert

      Unternehmensressourcen werden nicht vererbt.

    2. Wenn ein Attestierer für externe Benutzer der Attestierung zustimmt, wird eine E-Mail mit einem Bestätigungslink an den neuen Benutzer versendet.

    HINWEIS: Wenn der Konfigurationsparameter QER | Attestation | ApproveNewExternalUsers deaktiviert ist oder der Wert 0 eingestellt ist, wird sofort eine E-Mail mit dem Bestätigungslink an den neuen Benutzer versendet.

  5. Sobald der Benutzer dem Bestätigungslink gefolgt ist und ein Kennwort sowie die Kennwortfragen festgelegt hat, wird der Attestierungsvorgang genehmigt. Die Eigenschaften der Identität werden in der Datenbank aktualisiert.

    Tabelle 53: Eigenschaften einer externen Identität mit genehmigter Attestierung

    Eigenschaft

    Wert

    Erläuterung

    Zertifizierungsstatus

    Zertifiziert

     

    Extern

    aktiviert

     

    Dauerhaft deaktiviert

    deaktiviert

    Der Benutzer kann sich am Web Portal anmelden.

    Keine Vererbung

    deaktiviert

    Unternehmensressourcen werden vererbt.

Standardmäßig ist der Bestätigungslink 4 Stunden gültig. Wenn die Anmeldung am Kennwortrücksetzungsportal fehl schlägt, weil diese Zeit abgelaufen ist, kann der Benutzer sich einen neuen Bestätigungslink zusenden lassen.

Wenn der Benutzer die Registrierung nicht innerhalb von 24 Stunden abgeschlossen hat, wird der Attestierungsvorgang abgebrochen. Um sich dennoch zu registrieren, muss sich der Benutzer erneut vollständig am Web Portal anmelden.

Verwandte Themen

Anlegen neuer Identitäten durch einen Manager oder Administrator von Identitäten

Eine Attestierung neuer Benutzer ist auch dann möglich, wenn im Manager neue Identitäten angelegt werden oder wenn ein Manager im Web Portal eine neue Identität hinzufügt. Das gewünschte Verhalten wird am Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState festgelegt. Standardmäßig hat der Konfigurationsparameter den Wert 0. Damit erhält jede neue Identität den Zertifizierungsstatus Zertifiziert. Es wird keine automatische Attestierung durchgeführt.

Damit neue Benutzer automatisch attestiert werden können

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState und setzen Sie den Wert auf 1.

    Alle Identitäten, die ab diesem Zeitpunkt neu in der Datenbank angelegt werden, erhalten den Zertifizierungsstatus Neu. Damit wird eine automatische Attestierung dieser Identitäten durchgeführt.

Für interne und externe Identitäten gelten jeweils unterschiedliche Abläufe.

Ablauf der Attestierung:

  1. Erfassen Sie die Stammdaten des neuen Benutzers und ordnen Sie einen Manager zu.

    Ausführliche Informationen zum Anlegen von Identitäten finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul und im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

    Der Zertifizierungsstatus entspricht dem Wert des Konfigurationsparameters QER | Attestation | UserApproval | InitialApprovalState. Wenn am Konfigurationsparameter der Wert 1 gesetzt ist, wird der Zertifizierungsstatus Neu gesetzt.

    Die Identität ist standardmäßig aktiviert. Sie kann sich daher sofort am One Identity Manager anmelden. Damit die Identität sich erst dann am One Identity Manager anmelden kann, wenn ihre Stammdaten attestiert wurden, deaktivieren Sie die Identität.

    • Führen Sie dafür die Aufgabe Identität dauerhaft deaktivieren aus.

  2. Sobald die Identitätenstammdaten gespeichert wurden, startet die Attestierung.

    Genutzte Attestierungsrichtlinie: Zertifizierung neuer Benutzer

  3. Die Attestierer werden ermittelt.

    Wirksame Entscheidungsrichtlinie: Zertifizierung von Benutzern

  4. Wenn an der Identität die Option Extern aktiviert ist:

    Die Attestierung läuft wie im Abschnitt Selbstregistrierung neuer Benutzer im Web Portal, Schritt 4 bis 5 beschrieben ab.

  5. Wenn an der Identität die Option Extern deaktiviert ist:
    1. Der One Identity Manager prüft, ob der Identität ein Manager zugeordnet wurde.
      • Wenn der Identität ein Manager zugeordnet wurde, wird der Vorgang sofort diesem Manager zur Entscheidung zugewiesen.

      • Wenn der Identität kein Manager zugeordnet wurde, wird der Vorgang den Administratoren von Identitäten zur Entscheidung zugewiesen.

    2. Ein Administrator von Identitäten prüft die Stammdaten des neuen Benutzers und ordnet gegebenenfalls einen Manager zu.
      • Ein Administrator von Identitäten ordnet einen Manager zu und stimmt der Attestierung zu. Der Vorgang wird dem Manager zur Entscheidung zugewiesen.

      • Wenn ein Administrator von Identitäten keinen Manager zuordnet und der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften der Identität werden in der Datenbank aktualisiert.

        Tabelle 54: Eigenschaften einer Identität mit genehmigter Attestierung

        Eigenschaft

        Wert

        Erläuterung

        Zertifizierungsstatus

        Zertifiziert

         

        Extern

        deaktiviert

         

        Dauerhaft deaktiviert

        deaktiviert

         

        Keine Vererbung

        deaktiviert

        Unternehmensressourcen werden vererbt.

      • Wenn ein Administrator von Identitäten die Attestierung ablehnt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften der Identität werden in der Datenbank aktualisiert.

        Tabelle 55: Eigenschaften einer Identität mit abgelehnter Attestierung

        Eigenschaft

        Wert

        Erläuterung

        Zertifizierungsstatus

        Abgelehnt

         

        Extern

        deaktiviert

         

        Dauerhaft deaktiviert

        aktiviert

         

        Keine Vererbung

        aktiviert

        Unternehmensressourcen werden nicht vererbt.

        Benutzerkonten werden nicht automatisch erstellt.

    3. Der Manager kann die Attestierung ablehnen, wenn er nicht der verantwortliche Manager dieses Benutzers ist.
      • Er kann eine andere Identität als Manager zuordnen. Diesem wird der Vorgang sofort zur Entscheidung zugewiesen.

      • Wenn ihm der korrekte Manager nicht bekannt ist, wird die Entscheidung an die Administratoren von Identitäten zurückgegeben. Diese können

        • einen anderen Manager zuordnen,

        • keinen neuen Manager zuordnen und der Attestierung zustimmen oder

        • die Attestierung ablehnen.

    4. Wenn der Manager der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften der Identität werden in der Datenbank aktualisiert.
      Tabelle 56: Eigenschaften einer Identität mit genehmigter Attestierung

      Eigenschaft

      Wert

      Erläuterung

      Zertifizierungsstatus

      Zertifiziert

       

      Extern

      deaktiviert

       

      Dauerhaft deaktiviert

      deaktiviert

       

      Keine Vererbung

      deaktiviert

      Unternehmensressourcen werden vererbt.

      HINWEIS: Die Attestierung endgültig ablehnen können nur die Administratoren von Identitäten. Wenn ein Manager die Attestierung ablehnt, wird der Vorgang in jedem Fall an die Administratoren von Identitäten zur Entscheidung zurückgewiesen.
Verwandte Themen

Importieren neuer Identitätenstammdaten

Eine Attestierung neuer Identitäten kann angefordert werden, wenn die Identitätenstammdaten aus anderen Systemen in die One Identity Manager-Datenbank importiert werden. Damit neue Identitäten automatisch attestiert werden, muss der Zertifizierungsstatus der Identität beim Anlegen auf Neu gesetzt werden (Person.ApprovalState='1'). Dafür gibt es zwei Möglichkeiten:

  1. Für den Zertifizierungsstatus wird der Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState ausgewertet. Wenn am Konfigurationsparameter der Wert 1 gesetzt ist, wird der Zertifizierungsstatus Neu gesetzt.

    Voraussetzung: Der Import verändert nicht die Eigenschaft Person.ApprovalState.

    Hinweis: Standardmäßig hat der Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalStateden Wert 0. Damit erhält jede neue Identität den Zertifizierungsstatus Zertifiziert. Es wird keine automatische Attestierung durchgeführt.

    Wenn neue Identitäten sofort attestiert werden sollen, ändern Sie den Wert des Konfigurationsparameters auf 1.

  2. Der Import setzt explizit die Eigenschaft Person.ApprovalState.
    • Der Import setzt ApprovalState='1' (Neu).

      Die Identität wird automatisch dem Manager zur Attestierung vorgelegt.

    • Der Import setzt ApprovalState='0' (Zertifiziert).

      Die importierten Identitätenstammdaten sind bereits autorisiert. Sie sollen nicht erneut attestiert werden.

    • Der Import setzt ApprovalState='3' (Abgelehnt).

      Die Identität wird dauerhaft deaktiviert und nicht attestiert.

Die Attestierung neuer Benutzer wird ausgelöst, wenn

  • der Konfigurationsparamter QER | Attestation | UserApproval aktiviert ist,

  • neue Identitätenstammdaten in die One Identity Manager-Datenbank importiert wurden,

  • der Zertifizierungsstatus der neuen Identitäten Neu ist und

  • keine Datenquelle Import an der Identität hinterlegt ist.

Wenn an der Identität die Option Extern deaktiviert ist, läuft die Attestierung wie im Abschnitt Anlegen neuer Identitäten durch einen Manager oder Administrator von Identitäten, Schritt 5 beschrieben ab.

Wenn an der Identität die Option Extern aktiviert ist, läuft die Attestierung wie im Abschnitt Selbstregistrierung neuer Benutzer im Web Portal, Schritt 4 bis 5 beschrieben ab.

Es wird die Attestierungsrichtlinie Zertifizierung neuer Benutzer ausgeführt.

Verwandte Themen

Zeitgesteuerte Attestierungen

Benutzer werden auch dann attestiert, wenn der Zertifizierungsstatus einer Identität nachträglich (manuell oder per Import) auf Neu gesetzt wird. Dafür ist der Attestierungsrichtlinie Zertifizierung neuer Benutzer der Zeitplan Daily zugeordnet. Die Attestierung neuer Benutzer wird ausgelöst, wenn der in diesem Zeitplan angegebene Ausführungszeitpunkt erreicht ist. Dabei werden alle Identitäten ermittelt, deren Zertifizierungsstatus Neu ist und für die es keinen offenen Attestierungsvorgang gibt.

Sie können der Attestierungsrichtlinie bei Bedarf einen unternehmensspezifischen Zeitplan zuweisen.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen