In einem Attestierungsvorgang kann das Attestierungsobjekt gleichzeitig als Attestierer ermittelt werden. Damit können die zu attestierenden Personen sich selbst attestieren. Um das zu verhindern, aktivieren Sie den Konfigurationsparameter QER | Attestation | PersonToAttestNoDecide.
HINWEIS:
-
Eine Änderung des Konfigurationsparameters wirkt nur auf neu zu erstellende Attestierungsvorgänge. Für bereits bestehende Attestierungsvorgänge werden die Attestierer nicht neu berechnet.
-
Die Einstellung der Konfigurationsparameter gilt auch für Fallback-Entscheider; sie gilt nicht für die zentrale Entscheidergruppe.
-
Wenn am Entscheidungsschritt die Option Entscheidung durch betroffene Person aktiviert ist, hat der Konfigurationsparameter keine Wirkung.
Um zu verhindern, dass eine Person sich selbst attestieren darf
Der Konfigurationsparameter wirkt auf alle Attestierungsvorgänge, in denen Personen, die im Attestierungsobjekt oder in den Objektbeziehungen enthalten sind, gleichzeitig als Attestierer ermittelt werden. Folgende Personen werden aus dem Kreis der Attestierer entfernt:
-
Personen, die in AttestationCase.ObjectKeyBase enthalten sind
-
Personen, die in AttestationCase.UID_ObjectKey1, ObjectKey2 oder ObjectKey3 enthalten sind
-
die Hauptidentitäten dieser Personen
-
alle Subidentitäten dieser Hauptidentitäten
Ist der Konfigurationsparameter nicht aktiviert oder ist am Entscheidungsschritt die Option Entscheidung durch betroffene Person aktiviert, dürfen diese Personen sich selbst attestieren.
Verwandte Themen
Eigenschaften eines Entscheidungsschritts
Über eine Peer-Gruppen-Analyse können Attestierungsvorgänge automatisch genehmigt oder abgelehnt werden. Eine Peer-Gruppe bilden beispielsweise alle Personen derselben Abteilung. Bei der Peer-Gruppen-Analyse wird davon ausgegangen, dass diese Personen die gleichen Systemberechtigungen benötigen. Wenn also eine große Mehrheit der Mitarbeiter einer Abteilung eine Systemberechtigung besitzt, kann deren Zuweisung an eine andere Person dieser Abteilung automatisch genehmigt werden. Dadurch können Genehmigungsverfahren beschleunigt werden.
Die Peer-Gruppen-Analyse kann angewendet werden, wenn folgende Mitgliedschaften attestiert werden:
- Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup)
- Sekundäre Mitgliedschaften in Geschäftsrollen (Tabelle PersonInOrg)
Als Peer-Gruppe werden alle Personen zusammengefasst, die denselben Manager haben oder die derselben primären oder sekundären Abteilung angehören, wie die Person, die mit dem Attestierungsobjekt verbunden ist (= zu attestierende Person). Welche Personen zu einer Peer-Gruppe zusammengefasst werden, wird über Konfigurationsparameter festgelegt. Es muss mindestens einer der folgenden Konfigurationsparameter aktiviert sein.
-
QER | Attestation | PeerGroupAnalysis | IncludeManager: Personen, die denselben Manager haben, wie die zu attestierende Person
-
QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Personen, die derselben primären Abteilung angehören, wie die zu attestierende Person
-
QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Personen, deren sekundäre Abteilung der primären oder sekundären Abteilung der zu attestierenden Person entspricht
Welcher Anteil der Personen einer Peer-Gruppe die zu attestierende Mitgliedschaft bereits besitzen muss, wird über einen Schwellwert im Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold festgelegt. Der Schwellwert gibt das Verhältnis zwischen der Gesamtzahl der Personen in der Peer-Gruppe und der Anzahl der Person in der Peer-Gruppe, welche diese Mitgliedschaft bereits besitzen, an.
Zusätzlich kann festgelegt werden, dass Mitarbeiter keine funktionsfremden Mitgliedschaften besitzen dürfen. Das heißt, wenn die Mitgliedschaft und die zu attestierende Person zu unterschiedlichen Unternehmensbereichen gehören, soll der Attestierungsvorgang abgelehnt werden. Um diese Prüfung in die Peer-Gruppen-Analyse einzubeziehen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.
Ob eine Mitgliedschaft funktionsfremd ist, kann nur geprüft werden, wenn folgende Bedingungen erfüllt sind:
-
Die zu attestierende Person und die Mitglieder der Peer-Gruppe haben die Mitgliedschaft im IT Shop bestellt.
-
Der zu attestierenden Person ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.
-
Der Leistungsposition, die der Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.
Bei einer vollständig konfigurierten Peer-Gruppen-Analyse werden Attestierungsvorgänge automatisch genehmigt, wenn:
-
die zu attestierende Mitgliedschaft nicht funktionsfremd ist und
-
die Anzahl der Personen in der Peer-Gruppe, welche diese Mitgliedschaft bereits besitzen, einen festgelegten Schwellwert erreicht oder übersteigt.
Andernfalls werden die Attestierungsvorgänge automatisch abgelehnt.
Um diese Funktionalität nutzen zu können, stellt der One Identity Manager den Prozess ATT_AttestationCase_Peer group analysis und das Ereignis PeerGroupAnalysis bereit. Der Prozess wird über einen Entscheidungsschritt mit dem Entscheidungsverfahren EX ausgeführt.
Detaillierte Informationen zum Thema
Um die Peer-Gruppen-Analyse zu konfigurieren
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis.
-
Aktivieren Sie mindestens einen der folgenden Konfigurationsparameter:
-
QER | Attestation | PeerGroupAnalysis | IncludeManager: Personen, die denselben Manager haben, wie die mit dem Attestierungsobjekt verbundene Person
-
QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Personen, die derselben primären Abteilung angehören, wie die mit dem Attestierungsobjekt verbundene Person
-
QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Personen, deren sekundäre Abteilung der primären oder sekundären Abteilung der mit dem Attestierungsobjekt verbundenen Person entspricht
Damit legen Sie fest, welche Personen zur Peer-Gruppe gehören. Es können auch zwei oder alle Konfigurationsparameter aktiviert werden.
-
Um den Schwellwert für die Peer-Gruppe festzulegen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold und legen Sie einen Wert zwischen 0 und 1 fest.
Der Standardwert ist 0,9. Das heißt, mindestens 90% der Mitglieder der Peer-Gruppe müssen die zu attestierende Mitgliedschaft bereits besitzen, damit der Attestierungsvorgang genehmigt wird.
-
(Optional) Um zu prüfen, ob die zu attestierende Mitgliedschaft funktionsfremd ist, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.
-
Stellen Sie sicher, dass folgende Bedingungen erfüllt sind:
-
Die zu attestierende Person und die Mitglieder der Peer-Gruppe haben die Mitgliedschaft im IT Shop bestellt.
-
Der zu attestierenden Person ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.
-
Der Leistungsposition, die der Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.
Es werden nur Unternehmensbereiche berücksichtigt, die den Leistungspositionen primär zugewiesen sind.
Ausführliche Informationen zur Bearbeitung von Leistungspositionen finden Sie im One Identity Manager Administrationshandbuch für IT Shop. Ausführliche Informationen zu Unternehmensbereichen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
-
Erstellen Sie im Manager einen Entscheidungsworkflow mit mindestens einer Entscheidungsebene. Für den Entscheidungsschritt erfassen Sie mindestens folgende Daten:
-
Einzelschritt: EXWithPeerGroupAnalysis.
-
Entscheidungsverfahren: EX
-
Ereignis: PeerGroupAnalysis
Das Ereignis startet den Prozess ATT_AttestationCase_Peer group analysis, welcher das Skript ATT_PeerGroupAnalysis_for_Attestation ausführt.
Das Skript führt eine automatische Entscheidung aus und setzt den Typ des Entscheidungsschritts auf Zustimmung oder Ablehnung.
Detaillierte Informationen zum Thema
Verwandte Themen
Im Verlauf der Attestierung kann es notwendig sein, einen anderen als den standardmäßig verantwortlichen Attestierer mit der Attestierung zu beauftragen, beispielsweise weil ein verantwortlicher Attestierer abwesend ist. Möglicherweise werden zusätzliche Informationen über ein Attestierungsobjekt benötigt. Der One Identity Manager bietet verschiedene Möglichkeiten in einen offenen Attestierungsvorgang einzugreifen.