Chat now with support
Chat mit Support

Identity Manager 9.3 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Nutzungsbedingungen für Attestierungen bereitstellen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen für Attestierungsrichtlinien Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Entscheidungsworkflows einrichten

Ein Entscheidungsworkflow besteht aus einer oder mehreren Entscheidungsebenen. Eine Entscheidungsebene kann einen Entscheidungsschritt oder mehrere parallele Entscheidungsschritte umfassen. Innerhalb des Attestierungsverfahrens müssen alle Entscheidungsschritte einer Entscheidungsebene durchlaufen werden, bevor die nächste Entscheidungsebene aufgerufen wird. Die Abfolge der Entscheidungsebenen im Entscheidungsworkflow wird über Verbinder hergestellt.

Wenn Sie einen neuen Entscheidungsworkflow erstellen, wird zunächst ein neues Workflowelement erzeugt.

Um die Eigenschaften eines Entscheidungsworkflows zu bearbeiten

  1. Öffnen Sie den Workfloweditor.

  2. Wählen Sie die Methode Toolbox > Workflow > Bearbeiten.

  3. Bearbeiten Sie die Eigenschaften des Workflows.

  4. Klicken Sie OK.
Tabelle 24: Eigenschaften eines Entscheidungsworkflows

Eigenschaft

Bedeutung

Bezeichnung

Bezeichnung des Entscheidungsworkflows.

Systemabbruch (Tage)

Anzahl der Tage, nach deren Ablauf der Entscheidungsworkflow, und somit das gesamte Attestierungsverfahren, automatisch durch das System beendet wird.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.
Detaillierte Informationen zum Thema

Entscheidungsebenen bearbeiten

Eine Entscheidungsebene dient zur Gruppierung einzelner Entscheidungsschritte. Alle Entscheidungsschritte einer Entscheidungsebene werden zeitlich parallel ausgeführt. Alle Entscheidungsschritte verschiedener Entscheidungsebenen werden zeitlich nacheinander ausgeführt. Die Reihenfolge legen Sie über die Verbinder fest.

In den Entscheidungsebenen legen Sie die einzelnen Entscheidungsschritte fest. Pro Entscheidungsebene ist mindestens ein Entscheidungsschritt notwendig. Wenn Sie eine Entscheidungsebene hinzufügen, erfassen Sie zuerst die erforderlichen Entscheidungsschritte.

Um eine Entscheidungsebene einzufügen

  1. Wählen Sie die Methode Toolbox > Entscheidungsebenen > Hinzufügen.

    Das Eigenschaftsfenster für den ersten Entscheidungsschritt wird geöffnet.

  2. Erfassen Sie die Eigenschaften des Entscheidungsschritts.

  3. Speichern Sie die Änderungen.

Sobald Sie eine Entscheidungsebene mit mindestens einem Entscheidungsschritt erstellt haben, können Sie die Eigenschaften dieser Entscheidungsebene bearbeiten.

Um die Eigenschaften einer Entscheidungsebene zu bearbeiten

  1. Markieren Sie die Entscheidungsebene.

  2. Wählen Sie die Methode Toolbox > Entscheidungsebenen > Bearbeiten.

  3. Erfassen Sie den Anzeigenamen der Entscheidungsebene.

  4. Speichern Sie die Änderungen.
HINWEIS: Sie können mehrere Entscheidungsschritte auf einer Entscheidungsebene definieren. Die Attestierer einer Entscheidungsebene können in diesem Fall für einen Attestierungsvorgang parallel, statt nacheinander, entscheiden. Erst wenn innerhalb des Attestierungsverfahrens alle Entscheidungsschritte einer Entscheidungsebene abgeschlossen sind, wird der Attestierungsvorgang den Attestierern der nächsten Entscheidungsebene vorgelegt.

Um weitere Entscheidungsschritte in eine Entscheidungsebene einzufügen

  1. Markieren Sie die Entscheidungsebene.

  2. Wählen Sie die Methode Toolbox > Entscheidungsschritte > Hinzufügen.

  3. Erfassen Sie die Eigenschaften des Entscheidungsschritts.

  4. Speichern Sie die Änderungen.
Verwandte Themen

Entscheidungsschritte bearbeiten

Um die Eigenschaften eines Entscheidungsschritts zu bearbeiten

  1. Markieren Sie den Entscheidungsschritt.

  2. Wählen Sie die Methode Toolbox > Entscheidungsschritte > Bearbeiten.

  3. Bearbeiten Sie die Eigenschaften des Entscheidungsschritts.

  4. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema

Eigenschaften eines Entscheidungsschritts

Auf dem Tabreiter Allgemein erfassen Sie die folgenden Daten. Auf dem Tabreiter Mailvorlagen wählen Sie die Mailvorlagen für die Erzeugung von E-Mail Benachrichtigungen aus. Für einen neuen Entscheidungsschritt erfassen Sie mindestens die Daten in den Pflichteingabefeldern.

Tabelle 25: Allgemeine Eigenschaften eines Entscheidungsschritts

Eigenschaft

Bedeutung

Einzelschritt

Bezeichnung des Entscheidungsschrittes

Entscheidungsverfahren

Anzuwendendes Verfahren zur Ermittlung der Attestierer.

Rolle

Hierarchische Rolle, aus der die Attestierer ermittelt werden sollen.

Die Rolle wird in den Standard-Entscheidungsverfahren OM und OR genutzt. Zusätzlich können Sie die Rolle nutzen, wenn Sie im Entscheidungsschritt ein kundendefiniertes Entscheidungsverfahren verwenden.

Fallback-Entscheider

Anwendungsrolle, deren Mitglieder berechtigt sind, die Attestierungsvorgänge zu entscheiden, wenn durch das Entscheidungsverfahren kein Attestierer ermittelt werden kann. Weisen Sie eine Anwendungsrolle aus der Auswahlliste zu.

Um eine neue Anwendungsrolle zu erstellen, klicken Sie . Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle zu. Ausführliche Informationen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

HINWEIS: Die Anzahl der Entscheider wird nicht auf die Fallback-Entscheider angewendet. Der Entscheidungsschritt gilt als entschieden, sobald 1 Fallback-Entscheider entschieden hat.

Bedingung

Bedingung für die Berechnung der Entscheidung. Die Bedingung wird in den mit den Standard-Entscheidungsverfahren CD, EX oder WC. Zusätzlich können Sie die Rolle nutzen, wenn Sie im Entscheidungsschritt ein kundendefiniertes Entscheidungsverfahren verwenden.

Anzahl Entscheider

Anzahl der Attestierer, die einen Attestierungsvorgang entscheiden müssen. Mit dieser Angabe schränken Sie die maximale Anzahl der Entscheider des eingesetzten Entscheidungsverfahrens weiter ein.

Wenn für einen Entscheidungsschritt mehrere Identitäten als Attestierer ermittelt werden, dann bestimmt die hier angegebene Anzahl, wie viele Identitäten aus diesem Kreis einen Attestierungsvorgang entscheiden müssen. Erst danach wird der Attestierungsvorgang den Attestierern der nächsten Ebene vorgelegt.

Sollen alle über das eingesetzte Entscheidungsverfahren ermittelten Identitäten entscheiden, beispielsweise alle Mitglieder einer Rolle (Standardentscheidungsverfahren OR), dann geben Sie den Wert -1 an. Damit wird die am Entscheidungsverfahren definierte maximale Anzahl an Attestierern außer Kraft gesetzt.

Können nicht genügend Attestierer ermittelt werden, wird der Entscheidungsschritt den Fallback-Entscheidern vorgelegt. Der Entscheidungsschritt gilt als entschieden, sobald 1 Fallback-Entscheider den Attestierungsvorgang entschieden hat.

Wird eine Entscheidung durch die zentrale Entscheidergruppe getroffen, dann ersetzt das die Entscheidung genau eines regulären Attestierers. Das heißt, wenn drei Attestierer den Entscheidungsschritt genehmigen müssen und die zentrale Entscheidergruppe entscheidet, sind noch zwei weitere Entscheidungen erforderlich.

In den Entscheidungsverfahren CD, EX oder WC wird eine am Entscheidungsschritt definierte Anzahl der Entscheider nicht berücksichtigt.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Begründung Genehmigung

Begründung, die bei einer positiven automatischen Entscheidung in den Attestierungsvorgang eingetragen wird.

Das Eingabefeld wird nur für die Entscheidungsverfahren CD, EX und WC angezeigt.

Begründung Ablehnung

Begründung, die bei einer negativen automatischen Entscheidung in den Attestierungsvorgang und die Attestierungshistorie eingetragen wird.

Das Eingabefeld wird nur für die Entscheidungsverfahren CD, EX und WC angezeigt.

Erinnerung nach

Zeit, nach deren Ablauf die Attestierer per E-Mail Benachrichtigung erinnert werden, dass noch offene Attestierungsvorgänge zur Attestierung vorliegen. Die Angabe wird in Arbeitsstunden umgerechnet und zusätzlich angezeigt.

  • Wählen Sie die Zeiteinheit aus der Auswahlliste und erfassen Sie den passenden Zeitwert.

Das Erinnerungsintervall wird standardmäßig alle 30 Minuten geprüft. Um dieses Prüfintervall zu ändern, passen Sie den Zeitplan Erinnerungsintervall und Timeout von Attestierungsvorgängen prüfen an.

HINWEIS: Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Identitäten ein Bundesland und/oder ein Bundesstaat eingetragen ist. Wenn diese Informationen fehlen, wird ein Fallback zur Berechnung der Arbeitszeit genutzt. Ausführliche Informationen zur Ermittlung der Arbeitszeit von Identitäten finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

TIPP: Wochenenden und Feiertage werden bei der Berechnung der Arbeitszeiten standardmäßig berücksichtigt. Wenn Wochenenden oder Feiertage wie Arbeitstage behandelt werden sollen, aktivieren Sie die Konfigurationsparameter QBM | WorkingHours | IgnoreHoliday oder QBM | WorkingHours | IgnoreWeekend. Ausführliche Informationen dazu finden Sie im One Identity Manager Konfigurationshandbuch.

Wurden mehrere Attestierer ermittelt, dann erhält jeder Attestierer die Benachrichtigung. Gleiches gilt, wenn ein zusätzlicher Attestierer beauftragt wurde.

Hat ein Attestierer die Entscheidung delegiert, wird der Zeitpunkt für die Erinnerung für den Empfänger der Delegierung neu berechnet. Der Empfänger der Delegierung und alle übrigen Attestierer erhalten die Benachrichtigung. Der ursprüngliche Attestierer wird nicht benachrichtigt.

Wenn ein Attestierer eine Anfrage gestellt hat, wird der Zeitpunkt für die Erinnerung für die angefragte Identität neu berechnet. Solange die Anfrage nicht beantwortet ist, erhält nur diese Identität eine Benachrichtigung.

Timeout

Zeit, nach deren Ablauf der Entscheidungsschritt automatisch entschieden wird. Die Angabe wird in Arbeitsstunden umgerechnet und zusätzlich angezeigt.

  • Wählen Sie die Zeiteinheit aus der Auswahlliste und erfassen Sie den passenden Zeitwert.

Das Timeout wird standardmäßig alle 30 Minuten geprüft. Um das Prüfintervall zu ändern, passen Sie den Zeitplan Erinnerungsintervall und Timeout von Attestierungsvorgängen prüfen an.

Für die Zeitberechnung wird die gültige Arbeitszeit des jeweiligen Entscheiders berücksichtigt.

HINWEIS: Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Identitäten ein Bundesland und/oder ein Bundesstaat eingetragen ist. Wenn diese Informationen fehlen, wird ein Fallback zur Berechnung der Arbeitszeit genutzt. Ausführliche Informationen zur Ermittlung der Arbeitszeit von Identitäten finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

TIPP: Wochenenden und Feiertage werden bei der Berechnung der Arbeitszeiten standardmäßig berücksichtigt. Wenn Wochenenden oder Feiertage wie Arbeitstage behandelt werden sollen, aktivieren Sie die Konfigurationsparameter QBM | WorkingHours | IgnoreHoliday oder QBM | WorkingHours | IgnoreWeekend. Ausführliche Informationen dazu finden Sie im One Identity Manager Konfigurationshandbuch.

Wurden mehrere Entscheider ermittelt, dann wird der Entscheidungsschritt erst dann automatisch entschieden, wenn der Timeout für alle Entscheider überschritten ist. Gleiches gilt, wenn ein zusätzlicher Entscheider beauftragt wurde.

Hat ein Entscheider die Entscheidung delegiert, wird der Zeitpunkt für die automatische Entscheidung für den neuen Entscheider neu berechnet. Wenn dieser die Entscheidung zurückweist, wird der Zeitpunkt für die automatische Entscheidung für den ursprünglichen Entscheider neu berechnet.

Wenn ein Entscheider eine Anfrage stellt, muss die Entscheidung trotzdem innerhalb des definierten Timeouts getroffen werden. Der Zeitpunkt für die automatische Entscheidung wird nicht neu berechnet.

Wenn durch eine Neuberechnung der verantwortlichen Entscheider zusätzliche Entscheider ermittelt werden, dann wird der Zeitpunkt für die automatische Entscheidung dadurch nicht verlängert. Die zusätzlichen Entscheider müssen innerhalb des Zeitraums entscheiden, der für die bisherigen Entscheider gültig ist.

Verhalten bei Timeout

Aktion, die im Falle einer Zeitüberschreitung ausgeführt wird.

  • Genehmigung: Der Attestierungsvorgang wird in diesem Entscheidungsschritt genehmigt. Es wird die nächste Entscheidungsebene aufgerufen.

  • Ablehnung: Der Attestierungsvorgang wird in diesem Entscheidungsschritt abgelehnt. Es wird die Entscheidungsebene für Ablehnung aufgerufen.

  • Eskalation: Der Attestierungsvorgang wird eskaliert. Es wird die Entscheidungsebene zur Eskalation aufgerufen.

  • Abbruch: Der Entscheidungsschritt, und somit das gesamte Attestierungsverfahren, wird abgebrochen.

Art der Begründung bei Genehmigung

Gibt an, welche Art der Begründung bei Genehmigung dieses Entscheidungsschritts erforderlich ist.

  • Optional: Eine Begründung kann bei Bedarf angegeben werden.

  • Begründung erforderlich (Standard oder Freitext): Es muss eine der Standardbegründungen ausgewählt oder eine Begründung als Freitext erfasst werden.

  • Freitext erforderlich: Es muss eine Begründung als Freitext angegeben werden.

Art der Begründung bei Ablehnung

Gibt an, welche Art der Begründung bei Ablehnung dieses Entscheidungsschritts erforderlich ist.

  • Optional: Eine Begründung kann bei Bedarf angegeben werden.

  • Begründung erforderlich (Standard oder Freitext): Es muss eine der Standardbegründungen ausgewählt oder eine Begründung als Freitext erfasst werden.

  • Freitext erforderlich: Es muss eine Begründung als Freitext angegeben werden.

Zusätzliche Entscheider erlaubt

Gibt an, ob ein aktueller Attestierer eine weitere Identität als Attestierer beauftragen darf. Dieser zusätzliche Attestierer ist für den aktuellen Attestierungsvorgang parallel entscheidungsberechtigt. Erst wenn beide Entscheidungen abgeschlossen sind, wird der Attestierungsvorgang den Attestierern der nächsten Ebene vorgelegt.

Die Option kann nur für Entscheidungsebenen mit einem einzelnen, manuellen Entscheidungsschritt aktiviert werden.

Entscheidung delegierbar

Gibt an, ob ein aktueller Attestierer die Attestierung an eine andere Identität delegieren darf. Diese Identität wird als Attestierer in den aktuellen Entscheidungsschritt aufgenommen. Sie entscheidet anstelle des delegierenden Attestierers.

Die Option kann nur für Entscheidungsebenen mit einem einzelnen, manuellen Entscheidungsschritt aktiviert werden.

Entscheidung durch betroffene Identität

Gibt an, ob die Identität, die von der Entscheidung betroffen ist, diesen Attestierungsvorgang auch entscheiden darf. Ist die Option aktiviert, können die zu attestierenden Identitäten sich selbst attestieren.

Ist die Option deaktiviert, legen Sie am Konfigurationsparameter QER | Attestation | PersonToAttestNoDecide für alle Attestierungen fest, ob die zu attestierenden Identitäten sich selbst attestieren dürfen.

Nicht in Genehmigungshistorie anzeigen

Gibt an, ob der Entscheidungsschritt in der Attestierungshistorie ausgeblendet werden soll. Beispielsweise kann dieses Verhalten für Entscheidungsschritte mit dem Entscheidungsverfahren CD - Errechnete Entscheidung eingesetzt werden, die nur zur Verzweigung im Entscheidungsbaum dienen. Es erhöht die Übersichtlichkeit der Attestierungshistorie.

Eskalieren, wenn kein Entscheider ermittelbar ist

Gibt an, ob der Entscheidungsschritt eskaliert werden soll, wenn keine Attestierer ermittelt werden können und keine Fallback-Entscheider zugeordnet sind. Der Attestierungsvorgang wird in diesem Fall weder abgebrochen noch an die zentrale Entscheidergruppe übergeben.

Die Option kann nur aktiviert werden, wenn eine Entscheidungsebene zur Eskalation verbunden ist.

Detaillierte Informationen zum Thema
Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen