Chat now with support
Chat mit Support

Identity Manager 9.0 LTS - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Einrichten der Multifaktor-Authentifizierung für Attestierungen

Für bestimmte sicherheitskritische Attestierungen kann eine zusätzliche Authentifizierung eingerichtet werden. Dabei muss sich jeder Attestierer bei der Attestierung zusätzlich authentifizieren. Welche Attestierungsrichtlinien diese Authentifizierung benötigen, legen Sie an den Attestierungsrichtlinien fest.

Für die Multifaktor-Authentifizierung nutzt der One Identity ManagerOneLogin. Die nutzbaren Authentifizierungsmethoden werden über die OneLogin Benutzerkonten ermittelt, mit denen die Personen verbunden sind.

Voraussetzungen

In OneLogin:

  • Für alle Benutzerkonten, die für die Multifaktor-Authentifizierung genutzt werden sollen, ist mindestens eine Authentifizierungsmethode konfiguriert.

In One Identity Manager:

  • Das OneLogin Modul ist vorhanden.

  • Die Synchronisation mit einer OneLogin Domäne ist eingerichtet und wurde mindestens einmal ausgeführt.

  • Personen sind mit OneLogin Benutzerkonten verbunden.

  • Der API Server und die Webanwendung sind entsprechend konfiguriert.

Ausführliche Informationen zum Einrichten der Multifaktor-Authentifizierung finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Um die Multifaktor-Authentifizierung für Attestierungen nutzen zu können

  1. Wählen Sie im Manager die Attestierungsrichtlinien, für welche die Multifaktor-Authentifizierung genutzt werden soll.

  2. Aktivieren Sie Entscheidung durch Multifaktor Authentifizierung.

    Für Standard-Attestierungsrichtlinien kann die Multifaktor-Authentifizierung nicht genutzt werden.

Sobald an einer Attestierungsrichtlinie die Option Entscheidung durch Multifaktor Authentifizierung aktiviert ist, wird in jedem Entscheidungsschritt des Genehmigungsverfahrens eine zusätzliche Authentifizierung angefordert. Die Attestierer können zwischen allen Authentifizierungsmethoden wählen, die ihren OneLogin Benutzerkonten zugewiesen sind.

WICHTIG: Eine Attestierung per E-Mail ist nicht möglich, wenn für die Attestierungsrichtlinie die Multifaktor-Authentifizierung konfiguriert ist. Attestierungsmails für solche Attestierungen bewirken eine Fehlermeldung.

Ausführliche Informationen zur Multifaktor-Authentifizierung bei Attestierungen finden Sie im One Identity Manager Web Portal Anwenderhandbuch.

Verwandte Themen

Attestierung durch die zu attestierende Person verhindern

In einem Attestierungsvorgang kann das Attestierungsobjekt gleichzeitig als Attestierer ermittelt werden. Damit können die zu attestierenden Personen sich selbst attestieren. Um das zu verhindern, aktivieren Sie den Konfigurationsparameter QER | Attestation | PersonToAttestNoDecide.

HINWEIS:

  • Eine Änderung des Konfigurationsparameters wirkt nur auf neu zu erstellende Attestierungsvorgänge. Für bereits bestehende Attestierungsvorgänge werden die Attestierer nicht neu berechnet.

  • Die Einstellung der Konfigurationsparameter gilt auch für Fallback-Entscheider; sie gilt nicht für die zentrale Entscheidergruppe.

  • Wenn am Entscheidungsschritt die Option Entscheidung durch betroffene Person aktiviert ist, hat der Konfigurationsparameter keine Wirkung.

Um zu verhindern, dass eine Person sich selbst attestieren darf

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PersonToAttestNoDecide.

Der Konfigurationsparameter wirkt auf alle Attestierungsvorgänge, in denen Personen, die im Attestierungsobjekt oder in den Objektbeziehungen enthalten sind, gleichzeitig als Attestierer ermittelt werden. Folgende Personen werden aus dem Kreis der Attestierer entfernt:

  • Personen, die in AttestationCase.ObjectKeyBase enthalten sind

  • Personen, die in AttestationCase.UID_ObjectKey1, ObjectKey2 oder ObjectKey3 enthalten sind

  • die Hauptidentitäten dieser Personen

  • alle Subidentitäten dieser Hauptidentitäten

Ist der Konfigurationsparameter nicht aktiviert oder ist am Entscheidungsschritt die Option Entscheidung durch betroffene Person aktiviert, dürfen diese Personen sich selbst attestieren.

Verwandte Themen

Eigenschaften eines Entscheidungsschritts

Attestierungen durch Peer-Gruppen-Analyse

Über eine Peer-Gruppen-Analyse können Attestierungsvorgänge automatisch genehmigt oder abgelehnt werden. Eine Peer-Gruppe bilden beispielsweise alle Personen derselben Abteilung. Bei der Peer-Gruppen-Analyse wird davon ausgegangen, dass diese Personen die gleichen Systemberechtigungen benötigen. Wenn also eine große Mehrheit der Mitarbeiter einer Abteilung eine Systemberechtigung besitzt, kann deren Zuweisung an eine andere Person dieser Abteilung automatisch genehmigt werden. Dadurch können Genehmigungsverfahren beschleunigt werden.

Die Peer-Gruppen-Analyse kann angewendet werden, wenn folgende Mitgliedschaften attestiert werden:

  • Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup)
  • Sekundäre Mitgliedschaften in Geschäftsrollen (Tabelle PersonInOrg)

Als Peer-Gruppe werden alle Personen zusammengefasst, die denselben Manager haben oder die derselben primären oder sekundären Abteilung angehören, wie die Person, die mit dem Attestierungsobjekt verbunden ist (= zu attestierende Person). Welche Personen zu einer Peer-Gruppe zusammengefasst werden, wird über Konfigurationsparameter festgelegt. Es muss mindestens einer der folgenden Konfigurationsparameter aktiviert sein.

  • QER | Attestation | PeerGroupAnalysis | IncludeManager: Personen, die denselben Manager haben, wie die zu attestierende Person

  • QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Personen, die derselben primären Abteilung angehören, wie die zu attestierende Person

  • QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Personen, deren sekundäre Abteilung der primären oder sekundären Abteilung der zu attestierenden Person entspricht

Welcher Anteil der Personen einer Peer-Gruppe die zu attestierende Mitgliedschaft bereits besitzen muss, wird über einen Schwellwert im Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold festgelegt. Der Schwellwert gibt das Verhältnis zwischen der Gesamtzahl der Personen in der Peer-Gruppe und der Anzahl der Person in der Peer-Gruppe, welche diese Mitgliedschaft bereits besitzen, an.

Zusätzlich kann festgelegt werden, dass Mitarbeiter keine funktionsfremden Mitgliedschaften besitzen dürfen. Das heißt, wenn die Mitgliedschaft und die zu attestierende Person zu unterschiedlichen Unternehmensbereichen gehören, soll der Attestierungsvorgang abgelehnt werden. Um diese Prüfung in die Peer-Gruppen-Analyse einzubeziehen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.

Ob eine Mitgliedschaft funktionsfremd ist, kann nur geprüft werden, wenn folgende Bedingungen erfüllt sind:

  • Die zu attestierende Person und die Mitglieder der Peer-Gruppe haben die Mitgliedschaft im IT Shop bestellt.

  • Der zu attestierenden Person ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.

  • Der Leistungsposition, die der Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.

Bei einer vollständig konfigurierten Peer-Gruppen-Analyse werden Attestierungsvorgänge automatisch genehmigt, wenn:

  • die zu attestierende Mitgliedschaft nicht funktionsfremd ist und

  • die Anzahl der Personen in der Peer-Gruppe, welche diese Mitgliedschaft bereits besitzen, einen festgelegten Schwellwert erreicht oder übersteigt.

Andernfalls werden die Attestierungsvorgänge automatisch abgelehnt.

Um diese Funktionalität nutzen zu können, stellt der One Identity Manager den Prozess ATT_AttestationCase_Peer group analysis und das Ereignis PeerGroupAnalysis bereit. Der Prozess wird über einen Entscheidungsschritt mit dem Entscheidungsverfahren EX ausgeführt.

Detaillierte Informationen zum Thema

Peer-Gruppen-Analyse für Attestierungen konfigurieren

Um die Peer-Gruppen-Analyse zu konfigurieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis.

  2. Aktivieren Sie mindestens einen der folgenden Konfigurationsparameter:

    • QER | Attestation | PeerGroupAnalysis | IncludeManager: Personen, die denselben Manager haben, wie die mit dem Attestierungsobjekt verbundene Person

    • QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Personen, die derselben primären Abteilung angehören, wie die mit dem Attestierungsobjekt verbundene Person

    • QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Personen, deren sekundäre Abteilung der primären oder sekundären Abteilung der mit dem Attestierungsobjekt verbundenen Person entspricht

    Damit legen Sie fest, welche Personen zur Peer-Gruppe gehören. Es können auch zwei oder alle Konfigurationsparameter aktiviert werden.

  3. Um den Schwellwert für die Peer-Gruppe festzulegen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold und legen Sie einen Wert zwischen 0 und 1 fest.

    Der Standardwert ist 0,9. Das heißt, mindestens 90% der Mitglieder der Peer-Gruppe müssen die zu attestierende Mitgliedschaft bereits besitzen, damit der Attestierungsvorgang genehmigt wird.

  4. (Optional) Um zu prüfen, ob die zu attestierende Mitgliedschaft funktionsfremd ist, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.

    • Stellen Sie sicher, dass folgende Bedingungen erfüllt sind:

      • Die zu attestierende Person und die Mitglieder der Peer-Gruppe haben die Mitgliedschaft im IT Shop bestellt.

      • Der zu attestierenden Person ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.

      • Der Leistungsposition, die der Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.

      Es werden nur Unternehmensbereiche berücksichtigt, die den Leistungspositionen primär zugewiesen sind.

      Ausführliche Informationen zur Bearbeitung von Leistungspositionen finden Sie im One Identity Manager Administrationshandbuch für IT Shop. Ausführliche Informationen zu Unternehmensbereichen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  5. Erstellen Sie im Manager einen Entscheidungsworkflow mit mindestens einer Entscheidungsebene. Für den Entscheidungsschritt erfassen Sie mindestens folgende Daten:

    • Einzelschritt: EXWithPeerGroupAnalysis.

    • Entscheidungsverfahren: EX

    • Ereignis: PeerGroupAnalysis

    Das Ereignis startet den Prozess ATT_AttestationCase_Peer group analysis, welcher das Skript ATT_PeerGroupAnalysis_for_Attestation ausführt.

    Das Skript führt eine automatische Entscheidung aus und setzt den Typ des Entscheidungsschritts auf Zustimmung oder Ablehnung.

Detaillierte Informationen zum Thema
Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen