Chat now with support
Chat mit Support

Identity Manager 9.3 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Nutzungsbedingungen für Attestierungen bereitstellen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen für Attestierungsrichtlinien Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Entzug von Berechtigungen konfigurieren

Wenn es Ihre spezielle Datensituation zulässt, können abgelehnte Berechtigungen sofort im Anschluss an die Attestierung durch den One Identity Manager entzogen werden.

Um abgelehnte Berechtigungen automatisch zu entziehen

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | AutoRemovalScope und die untergeordneten Konfigurationsparameter.

  2. Wenn die Berechtigungen über IT Shop Bestellungen erworben wurden, legen Sie fest, ob diese Bestellungen abbestellt oder abgebrochen werden sollen. Aktivieren Sie dafür den Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName und wählen Sie einen Wert.

    • Abort: Bestellungen werden abgebrochen. Sie durchlaufen damit keinen Abbestellworkflow. Die bestellten Berechtigungen werden ohne zusätzliche Prüfung entzogen.

    • Unsubscribe: Bestellungen werden abbestellt. Sie durchlaufen den an den Entscheidungsrichtlinien hinterlegten Abbestellworkflow. Der Entzug der Berechtigung kann damit zusätzlich geprüft werden.

      Wenn die Abbestellung abgelehnt wird, wird die Berechtigung nicht entzogen, obwohl die Attestierung abgelehnt ist.

    Wenn der Konfigurationsparameter deaktiviert ist, werden die Bestellungen abgebrochen.

Wichtig: Wenn einer Identität Rollenmitgliedschaften oder Systemrollen entzogen werden, verliert sie dadurch die abgelehnte Berechtigung. Sie verliert aber auch alle anderen Unternehmensressourcen, die ihr über die Rolle vererbt wurden. Das können weitere Systemberechtigungen oder Kontendefinitionen sein. Gegebenenfalls werden ihr dadurch zulässige Systemberechtigungen entzogen oder Benutzerkonten gelöscht!

Prüfen sie, ob Ihre Datensituation den automatischen Entzug von Berechtigungen zulässt, bevor Sie die Konfigurationsparameter unter QER | Attestation | AutoRemovalScope aktivieren.

Der automatische Entzug von Berechtigungen wird durch einen zusätzlichen Entscheidungsschritt mit dem Entscheidungsverfahren EX in den Standard-Entscheidungsworkflows angestoßen.

Ablauf der Attestierung mit anschließendem Entzug abgelehnter Berechtigungen:

  1. Eine Attestierung mit einem Standard-Attestierungsverfahren wird durchgeführt.

  2. Der Attestierer lehnt die Attestierung ab. Der Entscheidungsschritt wird negativ entschieden und die Entscheidung an die nächste Entscheidungsebene mit dem Entscheidungsverfahren EX übergeben.

  3. Der Entscheidungsschritt löst das Ereignis AUTOREMOVE aus. Dadurch wird der Prozess VI_Attestation_AttestationCase_AutoRemoveMemberships ausgeführt.

  4. Der Prozess führt das Skript VI_AttestationCase_RemoveMembership aus. Dieses entfernt die betroffene Berechtigung abhängig von den aktivierten Konfigurationsparametern.

  5. Das Skript setzt den Status des Entscheidungsschritts auf Abgelehnt. Dadurch wird der gesamte Attestierungsvorgang endgültig abgelehnt.

  6. Aufträge zur Neuberechnung der Vererbung werden in die DBQueue eingestellt.

Detaillierte Informationen zum Thema

Attestierung von Systemberechtigungen

Installierte Module: Zielsystem Basismodul

Wenn Sie Mitgliedschaften in Systemberechtigungen attestieren, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | GroupMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart das Benutzerkonto Mitglied in der Systemberechtigung wurde.

  • QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDirect

    Die direkte Mitgliedschaft des Benutzerkontos in der Systemberechtigung wird entfernt.

  • QER | Attestation | AutoRemovalScope | GroupMembership | RemovePrimaryRole

    Wurde die Mitgliedschaft in der Systemberechtigung über eine primäre Rolle vererbt, wird der Identität diese Rolle entzogen.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

  • QER | Attestation | AutoRemovalScope | GroupMembership | RemoveRequestedRole

    Wurde die Mitgliedschaft in der Systemberechtigung über eine bestellte Rolle vererbt, wird die Bestellung der Rolle abgebrochen oder abbestellt.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDelegatedRole

    Wurde die Mitgliedschaft in der Systemberechtigung über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle abgebrochen oder abbestellt.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | GroupMembership | RemoveRequested

    Wurde die Mitgliedschaft in der Systemberechtigung über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | GroupMembership | RemoveSystemRole

    Systemrollen, welche die Systemberechtigung enthalten, werden der Identität entzogen.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Systemrolle erhalten hat.

    Dieser Konfigurationsparameter ist nur verfügbar, wenn das Systemrollenmodul installiert ist.

  • QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDirectRole

    Wurde die Mitgliedschaft in der Systemberechtigung über eine sekundäre Rolle (Organisation oder Geschäftsrolle) vererbt, wird die Mitgliedschaft der Identität in dieser Rolle entfernt.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

  • QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDynamicRole

    Wurde die Mitgliedschaft in der Systemberechtigung über eine dynamische Rolle vererbt, wird die Identität aus der dynamischen Rolle ausgeschlossen.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

Wenn Sie Zuweisungen zu Systemberechtigungen attestieren, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | UNSGroupInUNSGroup konfigurieren.

  • QER | Attestation | AutoRemovalScope | UNSGroupInUNSGroup | RemoveDirect

    Die Zuweisung der Systemberechtigung an eine Systemberechtigung wird entfernt.

Wenn Sie Zuweisungen von Systemberechtigungen an hierarchische Rollen attestieren, können Sie den automatischen Entzug der Systemberechtigungen über folgende Konfigurationsparameter konfigurieren.

Wenn die Zuweisung der Systemberechtigung an eine hierarchische Rolle nach einer abgelehnten Attestierung entfernt wird, wird allen Identitäten, die Zuweisungen von dieser Rolle erben, die Systemberechtigung entzogen.

  • QER | Attestation | AutoRemovalScope | DepartmentHasUNSGroup | RemoveDirect

    Die Zuweisung der Systemberechtigung an eine Abteilung wird entfernt.

  • QER | Attestation | AutoRemovalScope | ProfitCenterHasUNSGroup | RemoveDirect

    Die Zuweisung der Systemberechtigung an eine Kostenstelle wird entfernt.

  • QER | Attestation | AutoRemovalScope | LocalityHasUNSGroup | RemoveDirect

    Die Zuweisung der Systemberechtigung an einen Standort wird entfernt.

  • QER | Attestation | AutoRemovalScope | OrgHasUNSGroup | RemoveDirect

    Die Zuweisung der Systemberechtigung an eine Geschäftsrolle wird entfernt.

Verwandte Themen

Attestierung von Systemrollen

Installierte Module: Systemrollenmodul

Wenn Sie Mitgliedschaften in Systemrollen attestieren, können Sie den automatischen Entzug der Systemrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | ESetAssignment konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Identität die Systemrolle erhalten hat.

Wenn die Mitgliedschaft in der Systemrolle nach einer abgelehnten Attestierung entfernt wird, werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Systemrolle erhalten hat.

  • QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDirect

    Die direkte Mitgliedschaft in der Systemrolle wird entfernt.

  • QER | Attestation | AutoRemovalScope | ESetAssignment | RemovePrimaryRole

    Wurde die Systemrolle über eine primäre Rolle vererbt, wird der Identität diese Rolle entzogen.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

  • QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveRequestedRole

    Wurde die Systemrolle über eine bestellte Rolle vererbt, wird die Bestellung der Rolle abgebrochen oder abbestellt.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDelegatedRole

    Wurde die Systemrolle über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle abgebrochen oder abbestellt.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveRequested

    Wurde die Systemrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDirectRole

    Wurde die Systemrolle über eine sekundäre Rolle (Organisation oder Geschäftsrolle) vererbt, wird die Mitgliedschaft der Identität in dieser Rolle entfernt.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

  • QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDynamicRole

    Wurde die Systemrolle über eine dynamische Rolle vererbt, wird die Identität aus der dynamischen Rolle ausgeschlossen.

    Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

Wenn Sie Zuweisungen an Systemrollen attestieren, können Sie den automatischen Entzug der Zuweisungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | ESetHasEntitlement konfigurieren.

  • QER | Attestation | AutoRemovalScope | ESetHasEntitlement | RemoveDirect

    Die direkte Zuweisung der Unternehmensressource an eine Systemrolle wird entfernt.

  • QER | Attestation | AutoRemovalScope | ESetHasEntitlement | RemoveRequested

    Wurde die Zuweisung der Unternehmensressource an eine Systemrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

Wenn Sie Zuweisungen von Systemrollen an hierarchische Rollen attestieren, können Sie den automatischen Entzug der Systemrollen über folgende Konfigurationsparameter konfigurieren.

Wenn die Zuweisung der Systemrolle an eine hierarchische Rolle nach einer abgelehnten Attestierung entfernt wird, wird allen Identitäten, die Zuweisungen von dieser Rolle erben, die Systemrolle entzogen. Damit werden alle indirekten Zuweisungen entfernt, welche die Identitäten über diese Systemrolle erhalten haben.

  • QER | Attestation | AutoRemovalScope | DepartmentHasESet | RemoveDirect

    Die direkte Zuweisung der Systemrolle an eine Abteilung wird entfernt.

  • QER | Attestation | AutoRemovalScope | DepartmentHasESet | RemoveRequested

    Wurde die Zuweisung der Systemrolle an eine Abteilung über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | ProfitCenterHasESet | RemoveDirect

    Die direkte Zuweisung der Systemrolle an eine Kostenstelle wird entfernt.

  • QER | Attestation | AutoRemovalScope | ProfitCenterHasESet | RemoveRequested

    Wurde die Zuweisung der Systemrolle an eine Kostenstelle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | LocalityHasESet | RemoveDirect

    Die direkte Zuweisung der Systemrolle an einen Standort wird entfernt.

  • QER | Attestation | AutoRemovalScope | LocalityHasESet | RemoveRequested

    Wurde die Zuweisung der Systemrolle an einen Standort über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | OrgHasESet | RemoveDirect

    Die direkte Zuweisung der Systemrolle an eine Geschäftsrolle wird entfernt.

  • QER | Attestation | AutoRemovalScope | OrgHasESet | RemoveRequested

    Wurde die Zuweisung der Systemrolle an eine Geschäftsrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

Verwandte Themen

Attestierung von Anwendungsrollen

Wenn Sie Mitgliedschaften in Anwendungsrollen attestieren, können Sie den automatischen Entzug der Anwendungsrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | AERoleMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Identität Mitglied in der Anwendungsrolle wurde.

Wenn die Mitgliedschaft in der Anwendungsrolle nach einer abgelehnten Attestierung entfernt wird, werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Anwendungsrolle erhalten hat.

  • QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDirectRole

    Die sekundäre Mitgliedschaft der Identität in der Anwendungsrolle wird entfernt.

    Mitgliedschaften in dynamischen Rollen werden dadurch nicht entfernt.

  • QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveRequestedRole

    Hat die Identität die Anwendungsrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDelegatedRole

    Wurde die Anwendungsrolle an die Identität delegiert, wird die Delegierung abgebrochen oder abbestellt.

    Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein.

  • QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDynamicRole

    Die Identität wird aus der dynamischen Rolle der Anwendungsrolle ausgeschlossen.

    Auf anderem Weg entstandene Mitgliedschaften in der Anwendungsrolle werden dadurch nicht entfernt.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen