Rezertifizierung vorbereiten
Um die regelmäßige Attestierung von Benutzern einzurichten
-
Aktivieren Sie im Designer die benötigten Konfigurationsparameter.
-
Erstellen Sie einen Zeitplan und ordnen Sie diesen der Attestierungsrichtlinie Rezertifizierung von Benutzern zu. Dabei ersetzen Sie den standardmäßig zugeordneten Zeitplan.
- Aktivieren Sie den Zeitplan.
Detaillierte Informationen zum Thema
Ablauf der Rezertifizierung
Für die Rezertifizierung nutzt der One Identity Manager dasselbe Verfahren, wie für die Zertifizierung neuer Benutzer. Die Rezertifizierung von Benutzern wird ausgelöst, wenn
-
der Konfigurationsparamter QER | Attestation | UserApproval aktiviert ist,
-
keine Datenquelle Import an der Identität hinterlegt ist oder die Datenquelle Import nicht E-Business Suite ist und
-
der Ausführungszeitpunkt des an der Attestierungsrichtlinie Rezertifizierung von Benutzern hinterlegten Zeitplans erreicht ist.
Interne Identitäten werden durch ihre Manager attestiert. Wenn einer Identität kein Manager zugeordnet ist, ordnet zuerst ein Administrator von Identitäten einen Manager zu. Die Rezertifizierung endgültig ablehnen können nur die Administratoren von Identitäten. Wenn ein Manager die Rezertifizierung ablehnt, wird der Vorgang in jedem Fall an die Administratoren von Identitäten zur Entscheidung zurückgewiesen.
Externe Identitäten werden durch die Mitglieder der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer attestiert.
Wenn an der Identität die Option Extern deaktiviert ist, läuft die Attestierung wie im Abschnitt Anlegen neuer Identitäten durch einen Manager oder Administrator von Identitäten, Schritt 5 beschrieben ab.
Wenn an der Identität die Option Extern aktiviert ist, läuft die Attestierung wie im Abschnitt Selbstregistrierung neuer Benutzer im Web Portal, Schritt 4 bis 5 beschrieben ab.
Die Attestierer werden über die Entscheidungsrichtlinie Zertifizierung von Benutzern ermittelt.
Einschränken der Attestierungsobjekte für die Rezertifizierung
Wichtig: Für unternehmensspezifische Anpassungen der Standardattestierung Rezertifizierung von Benutzern sind Änderungen an One Identity Manager-Objekten erforderlich. Nutzen Sie für diese Änderungen immer eine unternehmensspezifische Kopie des jeweiligen Objekts.
Über die im One Identity Manager bereitgestellte Attestierungsrichtlinie Rezertifizierung von Benutzern werden alle in der Datenbank gespeicherten Identitäten rezertifiziert. Es kann notwendig sein, die Rezertifizierung von Benutzern auf bestimmte Identitätengruppen einzuschränken, beispielsweise wenn nur die Identitäten einer bestimmten Abteilung rezertifiziert werden sollen. Dafür können Sie die Bedingung an der Attestierungsrichtlinie erweitern. Erstellen Sie dafür eine unternehmensspezifische Attestierungsrichtlinie.
Damit die Rezertifizierung von Benutzern mit dieser Attestierungsrichtlinie durch geführt werden kann, müssen folgende Objekte angepasst werden. Erstellen Sie dafür immer eine Kopie des jeweiligen Objekts.
-
Attestierungsrichtlinie Rezertifizierung von Benutzern
-
Prozess VI_Attestation_AttestationCase_Person_Approval_Granted
-
Prozess VI_Attestation_AttestationCase_Person_Approval_Dismissed
Wichtig: Damit die Rezertifizierung im Web Portal fehlerfrei durchgeführt werden kann, müssen der Attestierungsrichtlinie das Standard-Attestierungsverfahren Zertifizierung von Benutzern und die Standard-Entscheidungsrichtlinie Zertifizierung von Benutzern zugeordnet sein.
Das Standard-Attestierungsverfahren, die Standard-Entscheidungsrichtlinie und der Standard-Entscheidungsworkflow Zertifizierung von Benutzern dürfen nicht verändert werden.
Um die standardmäßige Rezertifizierung von Benutzern unternehmensspezifisch anzupassen
-
Kopieren Sie die Attestierungsrichtlinie Rezertifizierung von Benutzern und passen Sie die Kopie an.
Tabelle 52: Eigenschaften der Attestierungsrichtlinie
Attestierungsverfahren |
Zertifizierung von Benutzern |
Entscheidungsrichtlinie |
Zertifizierung von Benutzern |
Bedingung bearbeiten |
Die Standardbedingung muss unverändert übernommen werden, damit die korrekten Attestierungsobjekte ausgewählt werden.
Um die Menge der Attestierungsobjekte einzuschränken, kann die Datenbankabfrage um zusätzliche Teilbedingungen erweitert werden. |
-
Kopieren Sie im Designer den Prozess VI_Attestation_AttestationCase_Person_Approval_Granted des Basisobjekts AttestationCase und passen Sie die Kopie an.
Tabelle 53: Prozesseigenschaften mit Änderungen
Prä-Skript zur Generierung |
Ersetzen Sie die UID der Attestierungsrichtlinie Rezertifizierung von Benutzern durch die UID der neuen Attestierungsrichtlinie. |
Generierungsbedingung |
-
Kopieren Sie im Designer den Prozess VI_Attestation_AttestationCase_Person_Approval_Dismissed des Basisobjekts AttestationCase und passen Sie die Kopie an.
Tabelle 54: Prozesseigenschaften mit Änderungen
Prä-Skript zur Generierung |
Ersetzen Sie die UID der Attestierungsrichtlinie Rezertifizierung von Benutzern durch die UID der neuen Attestierungsrichtlinie. |
Generierungsbedingung |
Ausführliche Informationen zum Bearbeiten von Prozessen finden Sie im One Identity Manager Konfigurationshandbuch.
Detaillierte Informationen zum Thema
Zertifizierung neuer Rollen und Organisationen
HINWEIS: Die Funktionalität steht zur Verfügung, wenn das Zielsystem Basismodul installiert ist.
Der One Identity Manager stellt Standardverfahren bereit, über welche die Stammdaten von Anwendungsrollen, Geschäftsrollen und Organisationen, die neu in die One Identity Manager-Datenbank aufgenommen wurden, zeitnah durch deren Manager attestiert und zertifiziert werden. Die Attestierung wird nur für Rollen und Organisationen mit dem Zertifizierungsstatus Neu durchgeführt. Wenn die Attestierung genehmigt wird, wird der Zertifizierungsstatus der attestierten Rolle oder Organisation auf Zertifiziert gesetzt, andernfalls auf Abgelehnt.
Die Attestierung wird durchgeführt, wenn eine neue Rolle oder Organisation im Manager oder im Web Portal angelegt wird oder in die One Identity Manager-Datenbank importiert wird. Für die Rolle oder Organisation darf keine Datenquelle Import hinterlegt sein.
HINWEIS: Im Anschluss an die Attestierung wird der Zertifizierungsstatus geändert. Wurde die Attestierung genehmigt, wird die Option Keine Vererbung an Identitäten deaktiviert.
Wenn die Attestierung abgelehnt wurde, wird nur der Zertifizierungsstatus geändert. Weitere Verhaltensänderungen, beispielsweise in der Vererbungsberechnung, sind damit nicht verbunden und können unternehmensspezifisch implementiert werden.
Detaillierte Informationen zum Thema