Importieren neuer Identitätenstammdaten
Eine Attestierung neuer Identitäten kann angefordert werden, wenn die Identitätenstammdaten aus anderen Systemen in die One Identity Manager-Datenbank importiert werden. Damit neue Identitäten automatisch attestiert werden, muss der Zertifizierungsstatus der Identität beim Anlegen auf Neu gesetzt werden (Person.ApprovalState='1'). Dafür gibt es zwei Möglichkeiten:
-
Für den Zertifizierungsstatus wird der Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState ausgewertet. Wenn am Konfigurationsparameter der Wert 1 gesetzt ist, wird der Zertifizierungsstatus Neu gesetzt.
Voraussetzung: Der Import verändert nicht die Eigenschaft Person.ApprovalState.
Hinweis: Standardmäßig hat der Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalStateden Wert 0. Damit erhält jede neue Identität den Zertifizierungsstatus Zertifiziert. Es wird keine automatische Attestierung durchgeführt.
Wenn neue Identitäten sofort attestiert werden sollen, ändern Sie den Wert des Konfigurationsparameters auf 1.
- Der Import setzt explizit die Eigenschaft Person.ApprovalState.
-
Der Import setzt ApprovalState='1' (Neu).
Die Identität wird automatisch dem Manager zur Attestierung vorgelegt.
-
Der Import setzt ApprovalState='0' (Zertifiziert).
Die importierten Identitätenstammdaten sind bereits autorisiert. Sie sollen nicht erneut attestiert werden.
-
Der Import setzt ApprovalState='3' (Abgelehnt).
Die Identität wird dauerhaft deaktiviert und nicht attestiert.
Die Attestierung neuer Benutzer wird ausgelöst, wenn
-
der Konfigurationsparamter QER | Attestation | UserApproval aktiviert ist,
-
neue Identitätenstammdaten in die One Identity Manager-Datenbank importiert wurden,
-
der Zertifizierungsstatus der neuen Identitäten Neu ist und
-
keine Datenquelle Import an der Identität hinterlegt ist.
Wenn an der Identität die Option Extern deaktiviert ist, läuft die Attestierung wie im Abschnitt Anlegen neuer Identitäten durch einen Manager oder Administrator von Identitäten, Schritt 5 beschrieben ab.
Wenn an der Identität die Option Extern aktiviert ist, läuft die Attestierung wie im Abschnitt Selbstregistrierung neuer Benutzer im Web Portal, Schritt 4 bis 5 beschrieben ab.
Es wird die Attestierungsrichtlinie Zertifizierung neuer Benutzer ausgeführt.
Zeitgesteuerte Attestierungen
Benutzer werden auch dann attestiert, wenn der Zertifizierungsstatus einer Identität nachträglich (manuell oder per Import) auf Neu gesetzt wird. Dafür ist der Attestierungsrichtlinie Zertifizierung neuer Benutzer der Zeitplan Daily zugeordnet. Die Attestierung neuer Benutzer wird ausgelöst, wenn der in diesem Zeitplan angegebene Ausführungszeitpunkt erreicht ist. Dabei werden alle Identitäten ermittelt, deren Zertifizierungsstatus Neu ist und für die es keinen offenen Attestierungsvorgang gibt.
Sie können der Attestierungsrichtlinie bei Bedarf einen unternehmensspezifischen Zeitplan zuweisen.
Detaillierte Informationen zum Thema
Einschränken der Attestierungsobjekte für die Zertifizierung
Wichtig: Für unternehmensspezifische Anpassungen der Standardattestierung Zertifizierung neuer Benutzer sind Änderungen an One Identity Manager-Objekten erforderlich. Nutzen Sie für diese Änderungen immer eine unternehmensspezifische Kopie des jeweiligen Objekts!
Es kann notwendig sein, die Attestierung neuer Benutzer auf bestimmte Identitätengruppen einzuschränken, beispielsweise wenn nur neue Identitäten einer bestimmten Abteilung attestiert werden sollen. Dafür können Sie die Bedingung an der Attestierungsrichtlinie erweitern. Erstellen Sie dafür eine unternehmensspezifische Attestierungsrichtlinie.
Damit die Attestierung neuer Benutzer mit dieser Attestierungsrichtlinie durchgeführt werden kann, müssen folgende Objekte angepasst werden. Erstellen Sie dafür immer eine Kopie des jeweiligen Objekts.
- Attestierungsrichtlinie Zertifizierung neuer Benutzer
- Prozess VI_Attestation_Person_new_AttestationCase_for_Certification
- Prozess VI_Attestation_AttestationCase_Person_Approval_Granted
- Prozess VI_Attestation_AttestationCase_Person_Approval_Dismissed
Wichtig: Damit die Attestierung im Web Portal fehlerfrei durchgeführt werden kann, müssen der Attestierungsrichtlinie das Standard-Attestierungsverfahren Zertifizierung von Benutzern und die Standard-Entscheidungsrichtlinie Zertifizierung von Benutzern zugeordnet sein.
Das Standard-Attestierungsverfahren, die Standard-Entscheidungsrichtlinie und der Standard-Entscheidungsworkflow Zertifizierung von Benutzern dürfen nicht verändert werden.
Um die standardmäßige Attestierung neuer Benutzer unternehmensspezifisch anzupassen
-
Kopieren Sie die Attestierungsrichtlinie Zertifizierung neuer Benutzer und passen Sie die Kopie an.
Tabelle 48: Eigenschaften der Attestierungsrichtlinie
|
Attestierungsverfahren |
Zertifizierung von Benutzern |
|
Entscheidungsrichtlinie |
Zertifizierung von Benutzern |
|
Bedingung bearbeiten |
Die Standardbedingung muss unverändert übernommen werden, damit die korrekten Attestierungsobjekte ausgewählt werden.
Um die Menge der Attestierungsobjekte einzuschränken, kann die Datenbankabfrage um zusätzliche Teilbedingungen erweitert werden. |
-
Kopieren Sie im Designer den Prozess VI_Attestation_Person_new_AttestationCase_for_Certification des Basisobjekts Person und passen Sie die Kopie an.
Tabelle 49: Prozesseigenschaften mit Änderungen
|
Create attestation instance |
WhereClause |
Ersetzen Sie die UID der Attestierungsrichtlinie Zertifizierung neuer Benutzer durch die UID der neuen Attestierungsrichtlinie. |
-
Kopieren Sie im Designer den Prozess VI_Attestation_AttestationCase_Person_Approval_Granted des Basisobjekts AttestationCase und passen Sie die Kopie an.
Tabelle 50: Prozesseigenschaften mit Änderungen
|
Prä-Skript zur Generierung |
Ersetzen Sie die UID der Attestierungsrichtlinie Zertifizierung neuer Benutzer durch die UID der neuen Attestierungsrichtlinie. |
|
Generierungsbedingung |
-
Kopieren Sie im Designer den Prozess VI_Attestation_AttestationCase_Person_Approval_Dismissed des Basisobjekts AttestationCase und passen Sie die Kopie an.
Tabelle 51: Prozesseigenschaften mit Änderungen
|
Prä-Skript zur Generierung |
Ersetzen Sie die UID der Attestierungsrichtlinie Zertifizierung neuer Benutzer durch die UID der neuen Attestierungsrichtlinie. |
|
Generierungsbedingung |
Ausführliche Informationen zum Bearbeiten von Prozessen finden Sie im One Identity Manager Konfigurationshandbuch.
Detaillierte Informationen zum Thema
Rezertifizierung vorhandener Benutzer
Wichtig: Als Ergebnis der Rezertifizierung wird One Identity Manager Benutzern möglicherweise der Zugang zu den angeschlossenen Zielsystemen entzogen. Das Verhalten können Sie unternehmensspezifisch konfigurieren. Lesen Sie den folgenden Abschnitt aufmerksam durch, bevor Sie die Rezertifizierungsfunktion nutzen.
Damit Unternehmen die im One Identity Manager gespeicherten Identitätenstammdaten regelmäßig überprüfen und autorisieren können, stellt der One Identity Manager eine Attestierungsrichtlinie zur zyklischen Attestierung vorhandener Benutzer bereit. Die zyklische Attestierung wird durch einen zeitgesteuerten Auftrag ausgelöst. Dabei wird der Zertifizierungsstatus für alle in der Datenbank gespeicherten Identitäten neu gesetzt. Der One Identity Manager nutzt dafür das selbe Verfahren wie für die Attestierung neuer Benutzer. Der Vorgang wird als Rezertifizierung bezeichnet.
Ergebnis der Rezertifizierung
-
Identitäten, die zertifiziert und aktiviert sind und damit über alle ihnen zugewiesenen Berechtigungen im One Identity Manager und den angeschlossenen Zielsystemen verfügen.
Unternehmensressourcen werden vererbt. Kontendefinitionen werden an interne Identitäten zugewiesen.
- ODER -
-
Identitäten, die abgelehnt und dauerhaft deaktiviert sind.
Deaktivierte Identitäten können sich nicht an den One Identity Manager Werkzeugen anmelden. Unternehmensressourcen werden nicht vererbt. Kontendefinitionen werden nicht automatisch zugewiesen. Mit der Identität verbundene Benutzerkonten werden gegebenenfalls gesperrt oder gelöscht. Das gewünschte Verhalten können Sie unternehmensspezifisch konfigurieren.
