Chat now with support
Chat mit Support

Identity Manager 9.1.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Zertifizierung neuer Rollen und Organisationen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Standard-Entscheidungsworkflows

Für die standardmäßige Attestierung neuer Benutzer sowie die Rezertifizierung aller in der One Identity Manager-Datenbank gespeicherten Personen stellt der One Identity Manager einen Standard-Entscheidungsworkflow bereit. Darüber hinaus werden Standard-Entscheidungsworkflows bereitgestellt, über die verschiedene Rollen und im Unified Namespace abgebildete Systemberechtigungen attestiert werden können. Diese Standard-Entscheidungsrichtlinien können Sie nutzen, wenn Sie im Web Portal Attestierungsrichtlinien erstellen.

Um Standard-Entscheidungsworkflows zu bearbeiten

  • Wählen Sie im Manager die Kategorie Attestierung | Basisdaten zur Konfiguration | Entscheidungsworkflows | Vordefiniert.

Ausführliche Informationen zur Nutzung der Standard-Entscheidungsworkflows finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Verwandte Themen

Auswahl der verantwortlichen Attestierer

Der One Identity Manager kann die Entscheidungen in einem Attestierungsverfahren automatisch treffen oder durch Attestierer treffen lassen. Ein Attestierer ist eine Person oder eine Gruppe von Personen, die innerhalb eines Attestierungsverfahrens einen Attestierungsvorgang genehmigen oder ablehnen kann. Wer die Entscheidungen trifft, wird über verschiedene Entscheidungsverfahren ermittelt. Welches Entscheidungsverfahren angewendet werden soll, wird am Entscheidungsschritt festgelegt.

Werden durch ein Entscheidungsverfahren mehrere Personen als Entscheider ermittelt, dann bestimmt die am Entscheidungsschritt angegebene Anzahl, wie viele Personen diesen Schritt entscheiden müssen. Erst danach wird der Attestierungsvorgang den Attestierern der nächsten Ebene vorgelegt. Kann für einen Entscheidungsschritt kein Entscheider ermittelt werden, wird das Attestierungsverfahren abgebrochen.

Der One Identity Manager stellt standardmäßig Entscheidungsverfahren bereit. Zusätzlich können Sie eigene Entscheidungsverfahren definieren.

Welche Person in welcher Entscheidungsebene entscheidungsberechtigt ist, wird durch den DBQueue Prozessor berechnet. Beachten Sie bei der Einrichtung von Entscheidungsworkflows die Besonderheiten der einzelnen Entscheidungsverfahren zur Ermittlung der entscheidungsberechtigten Personen.

Standard-Entscheidungsverfahren

Um Standard-Entscheidungsverfahren anzuzeigen

  • Wählen Sie die Kategorie Attestierung | Basisdaten zur Konfiguration | Entscheidungsverfahren | Vordefiniert.

Für die Auswahl der verantwortlichen Attestierer sind standardmäßig die nachfolgend aufgeführten Entscheidungsverfahren bereitgestellt.

Tabelle 28: Entscheidungsverfahren für Attestierung

Bezeichnung des Verfahrens

Attestierer

AA - Attestierer der zu attestierenden Rolle

Attestierer der Organisation (Abteilung, Standort, Kostenstelle), Geschäftsrolle oder des IT Shops, wenn Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen attestiert werden.

  • Attestierer für Abteilungen, Kostenstellen und Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
  • Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.
  • Attestierer für Bestellungen müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AD - Attestierer der Abteilung des Empfängers

Attestierer der Abteilung, die dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Abteilungen müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AL - Attestierer des Standorts des Empfängers

Attestierer des Standorts, der dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AM - Manager der verbundenen Person

Manager der Person, die mit dem zu attestierenden Benutzerkonto verbunden ist.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

AN - Attestierer der zu attestierenden Systemberechtigung

Attestierer der Systemberechtigung oder Systemrolle, wenn Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen attestiert werden. Die Attestierer werden über die zugeordnete Leistungsposition ermittelt.

  • Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AO - Attestierer der primären Rolle des Empfängers

Attestierer der Geschäftsrolle, die dem Attestierungsobjekt primär zugeordnet ist.

Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AP - Attestierer der Kostenstelle des Empfängers

Attestierer der Kostenstelle, die dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Kostenstellen müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AR - Attestierer der zu attestierenden Complianceregel

Attestierer der Complianceregel, die attestiert wird.

  • Attestierer müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AS - Entscheider der Attestierungsrichtlinie

Alle Personen, die als Entscheider der Attestierungsrichtlinie zugewiesen sind.

Weitere Informationen finden Sie unter Attestierer über die Attestierungsrichtlinie ermitteln.

AT - Attestierer der zu attestierenden Organisation

Attestierer der Organisation (Abteilung, Standort, Kostenstelle), Geschäftsrolle oder des IT Shops, die/der attestiert wird.

  • Attestierer für Abteilungen, Kostenstellen und Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
  • Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.
  • Attestierer für Bestellungen müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AY - Attestierer der zu attestierenden Unternehmensrichtlinie

Attestierer der Unternehmensrichtlinie, die attestiert wird.

  • Attestierer müssen der Anwendungsrolle Identity & Access Governance | Unternehmensrichtlinien | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

CD - Errechnete Entscheidung

-

Weitere Informationen finden Sie unter Errechnete Entscheidung.

CM - Manager der attestierten Person

Manager der Person, die attestiert wird.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

CN - Anfechtung der Entscheidung

Person, die attestiert wird.

Weitere Informationen finden Sie unter Attestierte Person als Attestierer ermitteln.

CS - Person selbst

Person, die attestiert wird, selbst.

Weitere Informationen finden Sie unter Attestierte Person als Attestierer ermitteln.

DM - Abteilungsleiter des Empfängers

Manager/Stellvertreter der Abteilung, wenn Personen oder sekundäre Mitgliedschaften in Abteilungen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

EA - Person des Benutzerkontos

Person, die dem zu attestierenden Benutzerkonto zugeordnet ist.

Weitere Informationen finden Sie unter An ein Benutzerkonto zugeordnete Person als Attestierer ermitteln.

ED - Abteilungsleiter bei Attestierung einer Systemberechtigung

Abteilungsleiter der Person, deren Systemberechtigungen attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EM - Manager der Person bei Attestierung einer Systemberechtigung

Manager der Person, deren Systemberechtigungen attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EN - Zielsystemverantwortliche der zu attestierenden Systemberechtigung

Zielsystemverantwortliche der Systemberechtigung, die attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EO - Produkteigner der zu attestierenden Systemberechtigung

Produkteigner, der Systemberechtigung oder der Systemrolle, die attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EX - Extern vorzunehmende Entscheidung

-

Weitere Informationen finden Sie unter Extern vorzunehmende Entscheidung.

KA - Produkteigner und zusätzliche Besitzer der Active Directory Gruppe

Produkteigner und zusätzliche Besitzer der Active Directory Gruppe, wenn Active Directory Gruppen oder Gruppenmitgliedschaften attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

LM - Manager des Standorts

Manager/Stellvertreter des Standorts, wenn Personen oder sekundäre Mitgliedschaften in Standorten attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

MD - Manager der Abteilung der verbundenen Person

Manager der primären Abteilung der Person, die mit dem zu attestierenden Benutzerkonto verbunden ist.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

MO - Manager der Geschäftsrolle

Manager/Stellvertreter der Geschäftsrolle, wenn Personen oder sekundäre Mitgliedschaften in Geschäftsrollen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

OA - Produkteigner

Alle Mitglieder der zugeordneten Anwendungsrolle, wenn Leistungspositionen, Systemberechtigungen oder Systemrollen attestiert werden.

Weitere Informationen finden Sie unter Produkteigner als Attestierer ermitteln.

OM - Manager einer bestimmten Rolle

Manager der im Entscheidungsworkflow festgelegten Rolle.

Weitere Informationen finden Sie unter Attestierer über eine festgelegte Rolle ermitteln.

OP - Eigentümer eines privilegierten Objektes

Alle Personen, die als Eigentümer der bestellten privilegierten Zugriffsanforderung ermittelt werden können.

Weitere Informationen finden Sie unter Eigentümer eines privilegierten Objektes als Attestierer ermitteln.

OR - Mitglieder einer bestimmten Rolle

Alle Personen, die der im Entscheidungsworkflow festgelegten Rolle sekundär zugewiesen sind.

Weitere Informationen finden Sie unter Attestierer über eine festgelegte Rolle ermitteln.

OT - Attestierer der zugeordneten Leistungsposition

Attestierer der Leistungsposition, die dem zu attestierenden Objekt zugeordnet ist.

  • Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Leistungsposition der Attestierungsobjekte ermitteln.

PA - Zusätzlicher Besitzer der Active Directory Gruppe

Alle Personen, die über den zusätzlichen Besitzer der zu attestierenden Active Directory Gruppe ermittelt werden können.

Weitere Informationen finden Sie unter Zusätzlicher Besitzer einer Active Directory Gruppe als Attestierer ermitteln.

PM - Kostenstellenverantwortliche des Empfängers

Verantwortlicher/Stellvertreter der Kostenstelle, wenn sekundäre Mitgliedschaften in Kostenstellen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

PO - Vorgeschlagener Eigentümer

Vorgeschlagener Eigentümer des Attestierungsobjekts

Weitere Informationen finden Sie unter Eigentümer der Attestierungsobjekte als Attestierer ermitteln.

PW - Eigentümer der Attestierungsrichtlinie

Eigentümer der Attestierungsrichtlinie, die ausgeführt wird.

Weitere Informationen finden Sie unter Eigentümer der Attestierungsrichtlinie ermitteln.

RE - Verantwortlicher der zu attestierenden Systemrolle

Verantwortlicher der Systemrolle, die attestiert wird.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

RM - Manager der Rolle bei Attestierung von Mitgliedschaften

Manager der zu attestierenden Rolle, wenn sekundäre Mitgliedschaften in Rollen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

RR - Manager der Rolle bei Attestierung von Rollen und Zuweisungen an Rollen

Manager der zu attestierenden Rolle.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

SO - Zielsystemverantwortliche der zu attestierenden Berechtigung

Zielsystemverantwortliche der Systemberechtigung oder des Benutzerkontos, das attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

WC - Warten auf andere Entscheidung

-

Weitere Informationen finden Sie unter Warten auf andere Entscheidung.

XM - Manager der Person für alle Attestierungen

Manager der Person, die über das Attestierungsobjekt ermittelt werden kann.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

Attestierer über die Attestierungsrichtlinie ermitteln

Wenn Sie die Attestierer für beliebige Objekte an einer Attestierungsrichtlinie festlegen wollen, nutzen Sie das Entscheidungsverfahren AS. Das Entscheidungsverfahren ermittelt alle Personen, die als Entscheider der Attestierungsrichtlinie zugewiesen sind.

Mit diesem Verfahren können Sie beliebige Objekte durch beliebige, festgelegte Personen attestieren lassen. Diese Personen müssen als Entscheider der Attestierungsrichtlinie zugewiesen sein. Die Attestierer können auch beim Erstellen von Attestierungsrichtlinien im Web Portal angegeben werden. Ausführliche Informationen dazu finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen