Chat now with support
Chat mit Support

Identity Manager 9.3 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Nutzungsbedingungen für Attestierungen bereitstellen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen für Attestierungsrichtlinien Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Warten auf andere Entscheidung

Hinweis: Pro Entscheidungsebene kann nur ein Entscheidungsschritt mit dem Entscheidungsverfahren WC definiert werden.

Wenn Sie sicherstellen wollen, dass ein definierter Datenzustand im One Identity Manager eingetreten ist, bevor ein Attestierungsvorgang endgültig entschieden wird, nutzen Sie das Entscheidungsverfahren WC. Durch eine Bedingung legen Sie fest, welche Voraussetzungen erfüllt sein müssen, damit eine Attestierung ausgeführt werden kann. Die Bedingung wird als Funktionsaufruf ausgewertet. Die Funktion muss als Parameter die UID des Attestierungsvorgangs (AttestationCase.UID_AttestationCase) akzeptieren. Über diese UID nehmen Sie auf das Attestierungsobjekt Bezug. Die Funktion muss drei Rückgabewerte als Integer-Werte definieren. Abhängig vom Rückgabewert der Funktion wird eine der folgenden Aktionen ausgeführt.

Tabelle 27: Rückgabewerte für verzögerte Entscheidungen

Rückgabewert

Aktion

Rückgabewert > 0

Die Bedingung ist erfüllt. Die verzögerte Entscheidung ist erfolgreich abgeschlossen. Der nächste Entscheidungsschritt (für den Erfolgsfall) wird ausgeführt.

Rückgabewert = 0

Die Bedingung ist noch nicht erfüllt. Die Entscheidung wird zurückgestellt und beim nächsten Lauf des DBQueue Prozessors erneut geprüft.

Rückgabewert < 0

Die Bedingung ist nicht erfüllt. Die verzögerte Entscheidung ist erfolglos abgeschlossen. Der nächste Entscheidungsschritt (für den Fehlerfall) wird ausgeführt.

Um das Entscheidungsverfahren nutzen zu können

  1. Erstellen Sie eine Datenbankfunktion, welche die Bedingung für die Attestierung prüft.

  2. Erstellen Sie einen Entscheidungsschritt mit dem Entscheidungsverfahren WC. Erfassen Sie im Eingabefeld Bedingung den Funktionsaufruf.

    Syntax: dbo.<Funktionsname>

  3. Legen Sie einen Entscheidungsschritt für den Erfolgsfall fest. Verwenden Sie ein Entscheidungsverfahren, mit dem der One Identity Manager die Attestierer ermitteln kann.

  4. Legen Sie bei Bedarf einen Entscheidungsschritt für den Fehlerfall fest.

Verwandte Themen

Entscheidungsverfahren einrichten

Sollten die Standard-Entscheidungsverfahren zur Ermittlung der verantwortlichen Attestierer nicht Ihren Anforderungen entsprechen, können Sie eigene Entscheidungsverfahren erstellen. Die Bedingung, über welche die Attestierer ermittelt werden, wird als Datenbankabfrage formuliert. Für eine Bedingung können mehrere Abfragen kombiniert werden.

Um ein Entscheidungsverfahren einzurichten

  1. Wählen Sie im Manager die Kategorie Attestierung > Basisdaten zur Konfiguration > Entscheidungsverfahren.

  2. Klicken Sie in der Ergebnisliste .

  3. Bearbeiten Sie die Stammdaten des Entscheidungsverfahrens.

  4. Speichern Sie die Änderungen.

Um ein Entscheidungsverfahren zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Attestierung > Basisdaten zur Konfiguration > Entscheidungsverfahren > Kundendefiniert.

  2. Wählen Sie in der Ergebnisliste das Entscheidungsverfahren und führen Sie die Aufgabe Stammdaten bearbeiten aus.

  3. Bearbeiten Sie die Stammdaten des Entscheidungsverfahrens.

  4. Speichern Sie die Änderungen.

Um die Bedingung zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Attestierung > Basisdaten zur Konfiguration > Entscheidungsverfahren > Kundendefiniert.

  2. Wählen Sie in der Ergebnisliste das Entscheidungsverfahren.

  3. Wählen Sie die Aufgabe Abfragen zur Ermittlung der Entscheider bearbeiten.

Verwandte Themen

Allgemeine Stammdaten eines Entscheidungsverfahrens

Für ein Entscheidungsverfahren erfassen Sie folgende allgemeine Stammdaten.

Tabelle 28: Allgemeine Stammdaten von Entscheidungsverfahren

Eigenschaft

Beschreibung

Entscheidungsverfahren

Kurzbezeichnung des Entscheidungsverfahrens (maximal zwei Zeichen).

Kurzbeschreibung

Kurze Beschreibung des Entscheidungsverfahrens.

DBQueue Prozessor Auftrag

Entscheidungen können entweder automatisch durch einen Berechnungsauftrag des DBQueue Prozessors getroffen werden oder durch festgelegte Attestierer. Wenn das Entscheidungsverfahren eine automatische Entscheidung treffen soll, weisen Sie einen kundendefinierten DBQueue Prozessor Auftrag zu.

Wenn eine Abfrage zur Ermittlung der Attestierer erfasst ist, kann kein DBQueue Prozessor Auftrag zugewiesen werden.

Max. Anzahl Entscheider

Maximale Anzahl an Attestierern, die durch das Entscheidungsverfahren ermittelt werden. Wie viele Identitäten tatsächlich entscheiden müssen, legen Sie in den Entscheidungsschritten fest, die dieses Entscheidungsverfahren verwenden.

Reihenfolge

Wert für die Sortierung der Entscheidungsverfahren in Auswahllisten.

  • Um das Entscheidungsverfahren beim Einrichten eines Entscheidungsschrittes in der Auswahlliste an oberster Stelle anzuzeigen, legen Sie einen Wert kleiner 10 fest.

  • Um das Entscheidungsverfahren in Auswahllisten auszublenden, legen Sie einen negativen Wert fest. Diese Entscheidungsverfahren werden im Manager unter dem Filter Ausgeblendet im Workfloweditor angezeigt.

TIPP: Die Reihenfolge kann auch für Standard-Entscheidungsverfahren geändert werden. Häufiger genutzte Entscheidungsverfahren können Sie so nach oben rücken; ungenutzte Entscheidungsverfahren können Sie ausblenden.

Beschreibung

Ausführliche Beschreibung des Entscheidungsverfahrens.

Verwandte Themen

Abfragen zur Ermittlung der Attestierer

Die Bedingung, über welche die Attestierer ermittelt werden, wird als Datenbankabfrage formuliert. Für eine Bedingung können mehrere Abfragen kombiniert werden. Dabei werden alle Identitäten in den Kreis der Attestierer aufgenommen, die durch die Einzelabfragen ermittelt werden.

Um die Bedingung zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Attestierung > Basisdaten zur Konfiguration > Entscheidungsverfahren > Kundendefiniert.

  2. Wählen Sie in der Ergebnisliste das Entscheidungsverfahren.

  3. Wählen Sie die Aufgabe Abfragen zur Ermittlung der Entscheider bearbeiten.

Um eine einzelne Abfrage zu erstellen

  1. Klicken Sie Hinzufügen.

    Es wird eine neue Zeile in die Tabelle eingefügt.

  2. Markieren Sie diese Zeile. Erfassen Sie die Eigenschaften der Abfrage.
  3. Fügen Sie bei Bedarf weitere Abfragen hinzu.
  4. Speichern Sie die Änderungen.

Um eine einzelne Abfrage zu bearbeiten

  1. Wählen Sie in der Tabelle die Abfrage, die Sie bearbeiten möchten. Bearbeiten Sie die Eigenschaften der Abfrage.
  2. Speichern Sie die Änderungen.

Um eine einzelne Abfrage zu entfernen

  1. Wählen Sie in der Tabelle die Abfrage, die Sie entfernen möchten.
  2. Klicken Sie Entfernen.
  3. Speichern Sie die Änderungen.
Tabelle 29: Eigenschaften einer Abfrage

Eigenschaft

Beschreibung

Entscheiderauswahl

Bezeichnung der Abfrage, die die Attestierer ermittelt.

Abfrage

Datenbankabfrage, die die Attestierer ermittelt.

Die Datenbankabfrage muss als Select-Anweisung formuliert werden. Die über die Datenbankabfrage ausgewählte Spalte muss eine UID_Person zurückgeben. Zusätzlich muss jede Abfrage einen Wert für UID_PWORulerOrigin übergeben. Ergebnis der Abfrage sind eine oder mehrere Identitäten, denen der Attestierungsvorgang zur Entscheidung vorgelegt wird. Liefert die Abfrage kein Ergebnis, wird das Attestierungsverfahren abgebrochen.

Eine Abfrage enthält genau eine Select-Anweisung. Um mehrere Select-Anweisungen zu kombinieren, erstellen Sie mehrere Abfragen.

Wenn eine DBQueue Prozessor Aufgabe zugewiesen ist, kann keine Abfrage zur Ermittlung der Attestierer erfasst werden.

Abfrage zur Neuberechnung

Datenbankabfrage zur Ermittlung der Attestierungsvorgänge, für die eine Neuberechnung der Attestierer notwendig ist.

Die Abfrage kann beispielsweise vorher festgelegte Attestierer ermitteln (Beispiel 1). Die Attestierer können auch dynamisch in Abhängigkeit des Attestierungsvorgangs ermittelt werden. Dafür greifen Sie innerhalb der Datenbankabfrage über die Variable @UID_AttestationCase auf den Attestierungsvorgang zu (Beispiel 2).

Beispiel 1

Die Attestierungsvorgänge sollen durch einen fest benannten Attestierer entschieden werden.

Abfrage:

select UID_Person, null as UID_PWORulerOrigin from Person where InternalName='User, JB'
Beispiel 2

Alle aktiven Complianceregeln sollen durch die jeweiligen Regelverantwortlichen attestiert werden.

Abfrage:

select pia.UID_Person, null as UID_PWORulerOrigin from AttestationCase ac
    join ComplianceRule cr on cr.XObjectKey = ac.ObjectKeyBase and cr.IsWorkingCopy = '0'
    join PersonInBaseTree pia on pia.UID_Org = cr.UID_OrgResponsible and pia.XOrigin > 0
    where ac.UID_AttestationCase = @UID_AttestationCase
Delegierungen berücksichtigen

Um bei der Ermittlung der Attestierer auch Delegierungen zu berücksichtigen, ermitteln Sie in der Abfrage auch die Identitäten, an die eine Verantwortlichkeit delegiert wurde. Wenn die Manager hierarchischer Rollen entscheiden sollen, ermitteln Sie die Attestierer aus der Tabelle HelperHeadOrg. Diese Tabelle vereinigt alle Manager, zweiten Verantwortlichen und alle zusätzlichen Manager von hierarchischen Rollen sowie deren Stellvertreter und die Identitäten, an die eine Verantwortlichkeit delegiert wurde.

Wenn die Mitglieder von Geschäfts- oder Anwendungsrollen entscheiden sollen, ermitteln Sie die Entscheider aus der Tabelle PersonInBaseTree. Diese Tabelle vereinigt alle Mitglieder von hierarchischen Rollen sowie die Identitäten, an die eine Mitgliedschaft delegiert wurde.

Um deaktiviert Identitäten auszuschließen, prüfen Sie den Wert für XOrigin auf den Wert größer als 0. Ausführliche Informationen zu den Werten der Spalte XOrigin finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Um den Delegierenden zu benachrichtigen, wenn der Empfänger der Delegierung einen Attestierungsvorgang entschieden hat, und damit im Web Portal angezeigt werden kann, ob der Attestierer aus einer Delegierung stammt, ermitteln Sie die UID_PWORulerOrigin.

Um die UID_PWORulerOrigin der Delegierung zu ermitteln

  • Ermitteln Sie die UID_PersonWantsOrg der Delegierung und übernehmen Sie diesen Wert als UID_PWORulerOrigin in die Abfrage. Nutzen Sie dafür die Tabellenfunktion dbo.QER_FGIPWORulerOrigin.

    select dbo.QER_FGIPWORulerOrigin(XObjectKey) as UID_PWORulerOrigin

Um alle aktiven Manager und deren Stellvertreter einzuschließen

  • Prüfen Sie den Wert von XOrigin auf den Wert größer als 0.

Angepasste Abfrage aus Beispiel 2:

select pia.UID_Person, dbo.QER_FGIPWORulerOrigin(pia.XObjectKey) as UID_PWORulerOrigin from AttestationCase ac
    join ComplianceRule cr on cr.XObjectKey = ac.ObjectKeyBase and cr.IsWorkingCopy = '0'
    join PersonInBaseTree pia on pia.UID_Org = cr.UID_OrgResponsible and pia.XOrigin > 0
    where ac.UID_AttestationCase = @UID_AttestationCase
Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen