Chat now with support
Chat mit Support

Identity Manager 9.0 LTS - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Attestierung von Systemberechtigungen

Installierte Module: Zielsystem Basismodul

Wenn Sie die Standard-Attestierungsrichtline Attestierung von Mitgliedschaften in Systemberechtigungen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung von Mitgliedschaften in Systemberechtigungen erstellt haben, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | GroupMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart das Benutzerkonto Mitglied in der Systemberechtigung wurde.

Tabelle 42: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDirect

Die direkte Mitgliedschaft des Benutzerkontos in der Systemberechtigung wird entfernt.

QER | Attestation | AutoRemovalScope | GroupMembership | RemovePrimaryRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine primäre Rolle vererbt, wird der Person diese Rolle entzogen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveRequestedRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine bestellte Rolle vererbt, wird die Bestellung der Rolle abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDelegatedRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveRequested

Wurde die Mitgliedschaft in der Systemberechtigung über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveSystemRole

Systemrollen, welche die Systemberechtigung enthalten, werden der Person entzogen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Systemrolle erhalten hat.

Dieser Konfigurationsparameter ist nur verfügbar, wenn das Systemrollenmodul installiert ist.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDirectRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine sekundäre Rolle (Organisation oder Geschäftsrolle) vererbt, wird die Mitgliedschaft der Person in dieser Rolle entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDynamicRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine dynamische Rolle vererbt, wird die Person aus der dynamischen Rolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Wenn Sie die Standard-Attestierungsrichtline Attestierung von Zuweisungen zu Systemberechtigungen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung der Zuweisung von Systemberechtigungen an Systemberechtigungen erstellt haben, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | UNSGroupInUNSGroup konfigurieren.

Tabelle 43: Wirkung des Konfigurationsparameters bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | UNSGroupInUNSGroup | RemoveDirect

Die Zuweisung der Systemberechtigung an eine Systemberechtigung wird entfernt.

Der automatische Entzug der Zuweisung von Systemberechtigungen an hierarchische Rollen kann konfiguriert werden, wenn Sie folgende Standard-Attestierungsrichtlinien oder Standard-Attestierungsverfahren nutzen:

  • Attestierung der Zuweisung von Systemberechtigungen an Abteilungen

  • Attestierung der Zuweisung von Systemberechtigungen an Kostenstellen

  • Attestierung der Zuweisung von Systemberechtigungen an Standorte

  • Attestierung der Zuweisung von Systemberechtigungen an Geschäftsrollen

Aktivieren Sie dafür die folgenden Konfigurationsparameter.

Tabelle 44: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | DepartmentHasUNSGroup | RemoveDirect

Die Zuweisung der Systemberechtigung an eine Abteilung wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Abteilung erben, die Systemberechtigung entzogen.

QER | Attestation | AutoRemovalScope | ProfitCenterHasUNSGroup | RemoveDirect

Die Zuweisung der Systemberechtigung an eine Kostenstelle wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Kostenstelle erben, die Systemberechtigung entzogen.

QER | Attestation | AutoRemovalScope | LocalityHasUNSGroup | RemoveDirect

Die Zuweisung der Systemberechtigung an einen Standort wird entfernt.

Damit wird allen Personen, die Zuweisungen von diesem Standort erben, die Systemberechtigung entzogen.

QER | Attestation | AutoRemovalScope | OrgHasUNSGroup | RemoveDirect

Die Zuweisung der Systemberechtigung an eine Geschäftsrolle wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Geschäftsrolle erben, die Systemberechtigung entzogen.

Attestierung von Systemrollen

Installierte Module: Systemrollenmodul

Wenn Sie die Standard-Attestierungsrichtline Attestierung von Mitgliedschaften in Systemrollen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung von Mitgliedschaften in Systemrollen erstellt haben, können Sie den automatischen Entzug der Systemrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | ESetAssignment konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person die Systemrolle erhalten hat.

Tabelle 45: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDirect

Die direkte Mitgliedschaft in der Systemrolle wird entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Systemrolle erhalten hat.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemovePrimaryRole

Wurde die Systemrolle über eine primäre Rolle vererbt, wird der Person diese Rolle entzogen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveRequestedRole

Wurde die Systemrolle über eine bestellte Rolle vererbt, wird die Bestellung der Rolle abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDelegatedRole

Wurde die Systemrolle über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveRequested

Wurde die Systemrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Systemrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDirectRole

Wurde die Systemrolle über eine sekundäre Rolle (Organisation oder Geschäftsrolle) vererbt, wird die Mitgliedschaft der Person in dieser Rolle entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDynamicRole

Wurde die Systemrolle über eine dynamische Rolle vererbt, wird die Person aus der dynamischen Rolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Wenn Sie die Standard-Attestierungsrichtline Attestierung von Zuweisungen an Systemrollen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung von Zuweisungen an Systemrollen erstellt haben, können Sie den automatischen Entzug der Zuweisungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | ESetHasEntitlement konfigurieren.

Tabelle 46: Wirkung des Konfigurationsparameters bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | ESetHasEntitlement | RemoveDirect

Die Zuweisung der Unternehmensressource an eine Systemrolle wird entfernt.

Der automatische Entzug der Zuweisung von Systemrollen an hierarchische Rollen kann konfiguriert werden, wenn Sie folgende Standard-Attestierungsrichtlinien oder Standard-Attestierungsverfahren nutzen:

  • Attestierung der Zuweisung von Systemrollen an Abteilungen

  • Attestierung der Zuweisung von Systemrollen an Kostenstellen

  • Attestierung der Zuweisung von Systemrollen an Standorte

  • Attestierung der Zuweisung von Systemrollen an Geschäftsrollen

Aktivieren Sie dafür die folgenden Konfigurationsparameter.

Tabelle 47: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | DepartmentHasESet | RemoveDirect

Die Zuweisung der Systemrolle an eine Abteilung wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Abteilung erben, die Systemrolle entzogen.

QER | Attestation | AutoRemovalScope | ProfitCenterHasESet | RemoveDirect

Die Zuweisung der Systemrolle an eine Kostenstelle wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Kostenstelle erben, die Systemrolle entzogen.

QER | Attestation | AutoRemovalScope | LocalityHasESet | RemoveDirect

Die Zuweisung der Systemrolle an einen Standort wird entfernt.

Damit wird allen Personen, die Zuweisungen von diesem Standort erben, die Systemrolle entzogen.

QER | Attestation | AutoRemovalScope | OrgHasESet | RemoveDirect

Die Zuweisung der Systemrolle an eine Geschäftsrolle wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Geschäftsrolle erben, die Systemrolle entzogen.

Attestierung von Anwendungsrollen

Wenn Sie die Standard-Attestierungsrichtline Attestierung von Mitgliedschaften in Anwendungsrollen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung von Mitgliedschaften in Anwendungsrollen erstellt haben, können Sie den automatischen Entzug der Anwendungsrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | AERoleMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person Mitglied in der Anwendungsrolle wurde.

Tabelle 48: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDirectRole

Die sekundäre Mitgliedschaft der Person in der Anwendungsrolle wird entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat. Mitgliedschaften in dynamischen Rollen werden dadurch nicht entfernt.

QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveRequestedRole

Hat die Person die Anwendungsrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDelegatedRole

Wurde die Anwendungsrolle an die Person delegiert, wird die Delegierung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDynamicRole

Die Person wird aus der dynamischen Rolle der Anwendungsrolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat. Auf anderem Weg entstandene Mitgliedschaften in der Anwendungsrolle werden dadurch nicht entfernt

Attestierung von Geschäftsrollen

Installierte Module: Geschäftsrollenmodul

Wenn Sie die Standard-Attestierungsrichtline Attestierung von Mitgliedschaften in Geschäftsrollen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung von Mitgliedschaften in Geschäftsrollen erstellt haben, können Sie den automatischen Entzug der Geschäftsrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | RoleMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person Mitglied in der Geschäftsrolle wurde.

Tabelle 49: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | RoleMembership | RemoveDirectRole

Die sekundäre Mitgliedschaft der Person in der Geschäftsrolle wird entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat. Mitgliedschaften in dynamischen Rollen werden dadurch nicht entfernt!

QER | Attestation | AutoRemovalScope | RoleMembership | RemoveRequestedRole

Hat die Person die Geschäftsrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | RoleMembership | RemoveDelegatedRole

Wurde die Geschäftsrolle an die Person delegiert, wird die Delegierung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | RoleMembership | RemoveDynamicRole

Die Person wird aus der dynamischen Rolle der Geschäftsrolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat. Auf anderem Weg entstandene Mitgliedschaften in der Geschäftsrolle werden dadurch nicht entfernt.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen