Ungenutzte OneLogin Anwendungen ermitteln
Anwendungen sollten mindestens einmal innerhalb eines definierten Zeitraums von mindestens einem OneLogin Benutzer genutzt werden. Über eine Standard-Unternehmensrichtlinie werden alle OneLogin Anwendungen ermittelt, die laut Änderungshistorie in diesem Zeitraum nicht genutzt wurden. Ausnahmegenehmiger werden über die betroffenen Anwendungen informiert. Über eine Rezertifizierung kann geklärt werden, ob die Anwendungen noch benötigt werden. Dabei erklären die Benutzer und deren Manager oder die Zielsystemverantwortlichen, ob die Anwendungen weiterhin benötigt werden. Falls nicht, kann der Zugang zu ungenutzten Anwendungen anschließend automatisch oder manuell entfernt werden. Die Standard-Richtlinien müssen aktiviert und unternehmensspezifisch konfiguriert werden.
Anwendungen werden als ungenutzt identifiziert, wenn folgende Bedingungen zutreffen:
-
Die Anwendung ist mindestens einem OneLogin Benutzerkonto zugewiesen (OLGUserHasOLGApplication).
-
Die Zeitspanne zwischen dem letzten Anmeldedatum an der Anwendung (OLGEvent.CreatedAt) und dem aktuellen Datum ist größer oder gleich dem Wert des Konfigurationsparameters TargetSystem | OneLogin | UnusedApplicationThresholdInDays.
- ODER -
In der Änderungshistorie gibt kein Anmeldedatum an der Anwendung für ein Benutzerkonto. Folglich hat kein Benutzer die Anwendung bisher genutzt.
Um ungenutzte Anwendungen zu ermitteln und zu rezertifizieren
-
(Optional) Konfigurieren Sie den automatischen Entzug von Berechtigungen.
Abhängig vom Verfahren, mit dem OneLogin Benutzerkonten an OneLogin Rollen zugewiesen werden (direkt, per IT Shop-Bestellung, über hierarchische Rollen oder Systemrollen), müssen verschiedene Konfigurationsparameter aktiviert werden. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für Attestierungen.
-
(Optional) Prüfen Sie, ob Benachrichtigungen über Richtlinienverletzungen und Benachrichtigungen im Attestierungsvorgang eingerichtet sind.
Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für Unternehmensrichtlinien und im One Identity Manager Administrationshandbuch für Attestierungen.
-
(Optional) Weisen Sie der Anwendungsrolle Identity & Access Governance | Unternehmensrichtlinien | Ausnahmegenehmiger die Identitäten zu, die über ungenutzte OneLogin Anwendungen informiert werden sollen und gegebenenfalls Ausnahmen genehmigen dürfen.
-
Wählen Sie im Manager die Kategorie Unternehmensrichtlinien > Basisdaten zur Konfiguration > Ausnahmegenehmiger.
-
Wählen Sie die Aufgabe Identitäten zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Identitäten zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Identitäten entfernen.
Um eine Zuweisung zu entfernen
- Speichern Sie die Änderungen.
-
Aktivieren Sie die Arbeitskopie der Unternehmensrichtlinie Ungenutzte OneLogin Anwendungen können entfernt werden.
Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für Unternehmensrichtlinien.
-
Wählen Sie im Manager die Kategorie Unternehmensrichtlinien > Richtlinien > Arbeitskopien von Richtlinien > Vordefiniert.
-
Wählen Sie in der Ergebnisliste die Arbeitskopie.
-
Wählen Sie die Aufgabe Arbeitskopie aktivieren.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
- Aktivieren Sie die originale Richtlinie. Bestätigen Sie die Abfrage mit Ja.
Die Richtlinienprüfung wird anschließend gestartet.
TIPP: Wenn bereits eine aktive Unternehmensrichtlinie vorhanden ist, können Sie die Richtlinienprüfung über die Aufgabe Richtlinie neu berechnen starten.
Durch den hinterlegten Zeitplan wird die Richtlinienprüfung einmal monatlich gestartet.
-
Bearbeiten Sie die Attestierungsrichtlinie Attestierung des Zugangs zu OneLogin Anwendungen im Web Portal.
Ausführliche Informationen dazu finden Sie im One Identity Manager Web Portal Anwenderhandbuch.
-
(Optional) Um ungenutzte Anwendungen regelmäßig zu rezertifizieren, weisen Sie im Auswahlfeld Zeitplan der Berechnung einen aktivierten Zeitplan zu.
-
Legen Sie fest, welche Anwendungen rezertifiziert werden sollen. Fügen Sie im Bereich Objekte, die durch diese Attestierungsrichtlinie attestiert werden mindestens eine weitere Bedingung hinzu.
Beispiel:
-
Wählen Sie den Bedingungstyp Bestimmte Anwendungen und wählen Sie eine der Anwendungen aus, die durch die Unternehmensrichtlinie als ungenutzt identifiziert wurden.
-
Fügen Sie eine weitere Bedingung mit dem Bedingungstyp Ungenutzt für x Tage hinzu und erfassen Sie die Anzahl der Tage, nach denen die Anwendung als ungenutzt identifiziert wird.
-
Löschen Sie die Bedingung Alle Anwendungen.
Wenn Sie keine Bedingung hinzufügen, werden Attestierungsvorgänge für alle Zuweisungen von OneLogin Anwendungen an OneLogin Benutzerkonten erzeugt.
-
Aktivieren Sie die Attestierungsrichtlinie.
- Speichern Sie die Änderungen.
Ablauf
-
Die Überprüfung der Unternehmensrichtlinie Ungenutzte OneLogin Anwendungen können entfernt werden wird zeitgesteuert oder über die Aufgabe Richtlinie neu berechnen im Manager gestartet.
-
Es werden alle OneLogin Anwendungen ermittelt, an denen sich innerhalb der festgelegten Zeitspanne kein Benutzerkonto angemeldet hat oder an denen sich noch nie ein Benutzerkonto angemeldet hat.
-
Ausnahmegenehmiger werden per E-Mail über die Richtlinienverletzungen benachrichtigt.
-
Die Attestierung mit der Attestierungsrichtlinie Attestierung des Zugangs zu OneLogin Anwendungen wird zeitgesteuert oder manuell im Web Portal gestartet.
Es werden alle Zuweisungen von OneLogin Anwendungen an Benutzerkonten entsprechend der konfigurierten Bedingung ermittelt.
Entscheidungsverlauf:
-
Es wird geprüft, ob das Benutzerkonto mit einer Identität verbunden ist
-
Die verbundene Identität bestätigt, ob die zugewiesene Anwendung benötigt wird.
-
Der Manager der verbundenen Identität entscheidet, ob die Zuweisung erhalten bleiben soll.
-
Wenn in einer Entscheidungsebene die Attestierung abgelehnt wurde, wird geprüft, ob die Zuweisung automatisch entfernt werden kann. Es werden alle OneLogin Rollen ermittelt, über welche die Anwendungen an das Benutzerkonto zugewiesen sind.
-
Wenn einer Rolle keine anderen Anwendungen zugewiesen sind, wird der automatische Entzug dieser Rolle initiiert. Dabei wird die Zuweisung der Rolle an das Benutzerkonto entfernt und die Änderung wird in das Zielsystem provisioniert. Damit wird dem OneLogin Benutzer die Berechtigung zur Nutzung der Anwendung entzogen.
Mit der folgenden Synchronisation wird die Zuweisung der Anwendung an das Benutzerkonto, je nach Konfiguration der Synchronisation, in der One Identity Manager-Datenbank als ausstehend markiert oder gelöscht. Führen Sie einen Zielsystemabgleich durch, um ausstehende Zuweisungen endgültig zu löschen.
-
Wenn die Anwendung direkt an das Benutzerkonto zugewiesen ist oder über eine OneLogin Rolle Zugang zu mehreren Anwendungen gewährt wird, wird der Attestierungsvorgang den Zielsystemverantwortlichen zur finalen Bearbeitung vorgelegt.
Wenn der Manager oder die Zielsystemverantwortlichen die Attestierung genehmigt haben, bleibt die Zuweisung erhalten und wird bei der folgenden zyklischen Prüfung erneut zur Rezertifizierung vorgelegt.
Verwandte Themen
Zuweisungen von OneLogin Anwendungen an OneLogin Rollen ermitteln
Der Zugang von OneLogin Benutzern zu Anwendungen wird über Rollen geregelt. Um den Zugang zu OneLogin Anwendungen automatisiert administrieren zu können, darf an eine OneLogin Rolle genau nur eine OneLogin Anwendung zugewiesen sein. Wenn diese Anwendung nicht mehr benötigt wird, kann die Mitgliedschaft in der Rolle entfernt werden, ohne gleichzeitig den Zugang zu anderen Anwendungen zu entziehen. Gleichermaßen sollte eine Anwendung genau nur einer OneLogin Rolle zugewiesen sein. Wenn diese Anwendung nicht mehr benötigt wird, muss damit nur die Mitgliedschaft in einer Rolle entfernt werden.
Mit Hilfe von Standard-Unternehmensrichlinien können Sie prüfen, ob diese Voraussetzungen für den automatischen Entzug von Berechtigungen erfüllt sind. Ausnahmegenehmiger werden über die betroffenen Rollen und Anwendungen informiert und können geeignete Maßnahmen veranlassen.
Um OneLogin Rollen mit mehr als einer OneLogin Anwendung zu ermitteln
-
(Optional) Weisen Sie der Anwendungsrolle Identity & Access Governance | Unternehmensrichtlinien | Ausnahmegenehmiger die Identitäten zu, die über betroffene OneLogin Rollen informiert werden sollen und gegebenenfalls Ausnahmen genehmigen dürfen.
-
Wählen Sie im Manager die Kategorie Unternehmensrichtlinien > Basisdaten zur Konfiguration > Ausnahmegenehmiger.
-
Wählen Sie die Aufgabe Identitäten zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Identitäten zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Identitäten entfernen.
Um eine Zuweisung zu entfernen
- Speichern Sie die Änderungen.
-
(Optional) Prüfen Sie, ob Benachrichtigungen über Richtlinienverletzungen eingerichtet sind.
Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für Unternehmensrichtlinien.
-
Aktivieren Sie die Arbeitskopie der Unternehmensrichtlinie Allen OneLogin Rollen ist nur eine OneLogin Anwendung zugewiesen.
-
Wählen Sie im Manager die Kategorie Unternehmensrichtlinien > Richtlinien > Arbeitskopien von Richtlinien > Vordefiniert.
-
Wählen Sie in der Ergebnisliste die Arbeitskopie.
-
Wählen Sie die Aufgabe Arbeitskopie aktivieren.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
- Aktivieren Sie die originale Richtlinie. Bestätigen Sie die Abfrage mit Ja.
Die Richtlinienprüfung wird anschließend gestartet.
TIPP: Wenn bereits eine aktive Unternehmensrichtlinie vorhanden ist, können Sie die Richtlinienprüfung über die Aufgabe Richtlinie neu berechnen starten.
Durch den hinterlegten Zeitplan wird die Richtlinienprüfung einmal monatlich gestartet.
-
Überprüfen Sie alle OneLogin Rollen, welche die Richtlinie verletzen und korrigieren Sie die Zuweisungen von OneLogin Anwendungen.
Um OneLogin Anwendung zu ermitteln, die mehr als einer OneLogin Rolle zugewiesen sind
-
(Optional) Weisen Sie der Anwendungsrolle Identity & Access Governance | Unternehmensrichtlinien | Ausnahmegenehmiger die Identitäten zu, die über betroffene Anwendungen informiert werden sollen und gegebenenfalls Ausnahmen genehmigen dürfen.
-
Wählen Sie im Manager die Kategorie Unternehmensrichtlinien > Basisdaten zur Konfiguration > Ausnahmegenehmiger.
-
Wählen Sie die Aufgabe Identitäten zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Identitäten zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Identitäten entfernen.
Um eine Zuweisung zu entfernen
- Speichern Sie die Änderungen.
-
(Optional) Prüfen Sie, ob Benachrichtigungen über Richtlinienverletzungen eingerichtet sind.
Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für Unternehmensrichtlinien.
-
Aktivieren Sie die Arbeitskopie der Unternehmensrichtlinie Alle OneLogin Anwendungen sind nur einer OneLogin Rolle zugewiesen.
-
Wählen Sie im Manager die Kategorie Unternehmensrichtlinien > Richtlinien > Arbeitskopien von Richtlinien > Vordefiniert.
-
Wählen Sie in der Ergebnisliste die Arbeitskopie.
-
Wählen Sie die Aufgabe Arbeitskopie aktivieren.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
- Aktivieren Sie die originale Richtlinie. Bestätigen Sie die Abfrage mit Ja.
Die Richtlinienprüfung wird anschließend gestartet.
TIPP: Wenn bereits eine aktive Unternehmensrichtlinie vorhanden ist, können Sie die Richtlinienprüfung über die Aufgabe Richtlinie neu berechnen starten.
Durch den hinterlegten Zeitplan wird die Richtlinienprüfung einmal monatlich gestartet.
-
Überprüfen Sie alle OneLogin Anwendungen, welche die Richtlinie verletzen und korrigieren Sie die Zuweisungen zu OneLogin Rollen.
Verwandte Themen
Behavior Driven Governance für Privileged Account Management
HINWEIS: Die Funktionalität steht zur Verfügung, wenn das Privileged Account Governance Modul installiert ist.
One Identity Manager stellt verschiedene Unternehmensrichtlinien und Attestierungsrichtlinien bereit, um Berechtigungen in One Identity Safeguard abhängig vom Nutzungsverhalten ihrer Benutzer zu überprüfen und zu rezertifizieren oder zu entfernen. Folgende Szenarien können damit behandelt werden:
-
PAM Benutzergruppen, die von ihren Benutzern nicht genutzt werden
Die Mitglieder von Benutzergruppen sollten innerhalb eines definierten Zeitraums Zugriffsanforderungen stellen. Für Benutzerkonten, für die im PAM Prüfprotokoll keine Zugriffsanforderungen aufgezeichnet sind, soll die Mitgliedschaft in der Benutzergruppe rezertifiziert oder gelöscht werden.
Über eine Unternehmensrichtlinie werden alle Benutzerkonten ohne Zugriffsanforderungen ermittelt. Ausnahmegenehmiger werden über die betroffenen Benutzergruppen und Benutzerkonten informiert. Parallel dazu wird ein Rezertifizierungsverfahren gestartet. Im Lauf der Rezertifizierung erklären die Entscheider der Attestierungsrichtlinie, ob die Mitgliedschaften weiterhin benötigt werden. Nicht benötigte Mitgliedschaften können anschließend automatisch oder manuell entfernt werden.
-
Verschiedene PAM Berechtigungen, die nicht genutzt werden
PAM Berechtigungen, wie Assets, Benutzergruppen oder Nutzungsrechte, sollten mindestens einmal innerhalb eines definierten Zeitraums genutzt werden. Wenn eine Berechtigung laut PAM Prüfprotokoll in diesem Zeitraum nicht genutzt wurde, kann in einem Rezertifizierungsverfahren entschieden werden, ob die Berechtigung weiterhin benötigt wird.
Über verschiedene Unternehmensrichtlinie werden alle ungenutzten Berechtigungen ermittelt. Ausnahmegenehmiger werden über die betroffenen Berechtigungen informiert. Über eine Rezertifizierung kann geklärt werden, ob die Berechtigungen noch benötigt werden. Ungenutzte Berechtigungen können anschließend im Zielsystem entfernt werden.
Nach welchem Zeitraum Berechtigungen als ungenutzt betrachtet werden, ist im Konfigurationsparameter TargetSystem | PAG | UnusedThresholdInDays festgelegt. Der Standardwert ist 90 Tage.
Ausführliche Informationen zur Abbildung von PAM-Objekten finden Sie im One Identity Manager Administrationshandbuch für Privileged Account Governance.
Verwandte Themen
Behavior Driven Governance für Zielsysteme im Unified Namespace
One Identity Manager stellt Unternehmensrichtlinien bereit, um Benutzerkonten zu ermitteln, die für einen definierten Zeitraum nicht genutzt wurden. Mit diesen Informationen können Administratoren die Zugangsberechtigungen zu den Zielsystemen überprüfen und korrigieren. Sicherheitsrisiken, die mit ungenutzten, aber aktiven Benutzerkonten verbunden sind, können so verringert werden.
Voraussetzungen
-
Die Benutzerkonten sind im Unified Namespace abgebildet.
-
Die Zielsysteme stellen eine Information über die Nutzungsdauer der Benutzerkonten bereit. Diese Daten werden mit One Identity Manager synchronisiert und in UNSAccount.LastLogon abgebildet.
Ausführliche Informationen zur Abbildung von Zielsystemen und Benutzerkonten im Unified Namespace finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
Nach welchem Zeitraum Benutzerkonten als ungenutzt betrachtet werden, ist im Konfigurationsparameter TargetSystem | UNS | UnusedUserAccountThresholdInDays festgelegt. Der Standardwert ist 90 Tage.
Folgende Szenarien können behandelt werden:
-
Benutzerkonten, die nicht genutzt werden, können deaktiviert werden
Wenn Benutzer sich innerhalb eines definierten Zeitraums nicht am Zielsystem angemeldet haben, kann deren Benutzerkonto als ungenutzt betrachtet werden. Solche Benutzerkonten sollten deaktiviert werden, damit keine Anmeldung mehr möglich ist.
-
Benutzerkonten, die nicht genutzt werden, können gelöscht werden
Benutzerkonten, die innerhalb eines definierten Zeitraums nicht zur Anmeldung am Zielsystem genutzt wurden, sollten gelöscht werden.
Mit den Standard-Unternehmensrichtlinien können ungenutzte Benutzerkonten ermittelt und die Ausnahmegenehmiger informiert werden. Wie mit diesen Benutzerkonten verfahren werden soll (deaktivieren oder löschen), ist von den Möglichkeiten der jeweiligen Zielsysteme abhängig. Definieren Sie dafür zielsystemspezifische Prozesse.
Detaillierte Informationen zum Thema
Verwandte Themen