Chat now with support
Chat mit Support

Identity Manager 9.1.3 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Zertifizierung neuer Rollen und Organisationen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Attestierung und Rezertifizierung von Benutzern konfigurieren

Um die Attestierungs- und Rezertifizierungsfunktion für neue interne Benutzer nutzen zu können

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | UserApproval.

  2. Weisen Sie der Anwendungsrolle Identity Management | Personen | Administratoren mindestens eine Person zu.

    Alle Personen mit dieser Anwendungsrolle können im Verlauf der Attestierung einen Manager an die zu attestierenden Personen zuordnen.

Um die Attestierungs- und Rezertifizierungsfunktion für neue externe Benutzer nutzen zu können

  1. Aktivieren Sie im Designer die folgenden Konfigurationsparameter:

    • QER | Attestation | ApproveNewExternalUsers: Wählen Sie den Wert 1.

    • QER | WebPortal | PasswordResetURL: Geben Sie als Wert die URL zum Kennwortrücksetzungsportal an.

    • QER | Attestation | MailTemplateIdents | NewExternalUserVerification: Mailvorlage für den Versand des Bestätigungslinks.

    • QER | Attestation | NewExternalUserTimeoutInHours: Legen Sie fest, wie viele Stunden der Bestätigungslink für neue externe Benutzer gültig ist.

      Standardmäßig ist der Bestätigungslink 4 Stunden gültig. Wenn die Anmeldung am Kennwortrücksetzungsportal fehl schlägt, weil diese Zeit abgelaufen ist, kann der Benutzer sich einen neuen Bestätigungslink zusenden lassen. Um den Gültigkeitszeitraum des Bestätigungslinks zu ändern, passen Sie den Wert des Konfigurationsparameters an.

    • QER | Attestation | NewExternalUserFinalTimeoutInHours: Legen Sie fest, nach wie vielen Stunden die Selbstregistrierung neuer Benutzer abgebrochen wird, sofern die Registrierung noch nicht erfolgreich abgeschlossen wurde.

      Wenn der Benutzer die Registrierung nicht innerhalb von 24 Stunden abgeschlossen hat, wird der Attestierungsvorgang abgebrochen. Um sich dennoch zu registrieren, muss sich der Benutzer erneut vollständig am Web Portal anmelden. Um die Gültigkeitsdauer der Registrierung zu ändern, passen Sie den Wert des Konfigurationsparameters an.

  2. Weisen Sie der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer mindestens eine Person zu.

Detaillierte Informationen zum Thema

Attestierung neuer Benutzer

Für die Attestierung neuer Benutzer unterscheidet der One Identity Manager drei Anwendungsfälle:

  1. Registrieren eines neuen externen Benutzers bei der Anmeldung im Web Portal

  2. Anlegen neuer Personen im Manager oder durch einen Manager im Web Portal

  3. Anlegen neuer Personen durch Import der Personenstammdaten

Das Ergebnis der Attestierung ist in allen drei Anwendungsfällen identisch.

  • Personen, die zertifiziert und aktiviert sind und damit über alle ihnen zugewiesenen Berechtigungen im One Identity Manager und den angeschlossenen Zielsystemen verfügen.

    Unternehmensressourcen werden vererbt. Kontendefinitionen werden an interne Personen zugewiesen.

    - ODER -

  • Personen, die abgelehnt und dauerhaft deaktiviert sind.

    Deaktivierte Personen können sich nicht an den One Identity Manager Werkzeugen anmelden. Unternehmensressourcen werden nicht vererbt. Kontendefinitionen werden nicht automatisch zugewiesen. Mit der Person verbundene Benutzerkonten werden gegebenenfalls gesperrt oder gelöscht. Das gewünschte Verhalten können Sie unternehmensspezifisch konfigurieren.

Selbstregistrierung neuer Benutzer im Web Portal

Noch nicht registrierte Benutzer haben die Möglichkeit sich für die Nutzung des Web Portals selbst zu registrieren. Diese Benutzer können sich am Web Portal anmelden, sobald die verantwortlichen Personen die Stammdaten des Benutzers attestiert haben und die Benutzer ein Kennwort gesetzt haben. In der One Identity Manager-Datenbank wird eine externe Person angelegt.

Ablauf der Attestierung:

  1. Der Benutzer meldet sich erstmalig am Web Portal an und erfasst die benötigten Stammdaten.

    Ein neues Personenobjekt wird in der One Identity Manager-Datenbank angelegt mit den Eigenschaften:

    Tabelle 51: Eigenschaften einer neu angelegten Person

    Eigenschaft

    Wert

    Zertifizierungsstatus

    Neu

    Extern

    aktiviert

    Kontakt-E-Mail-Adresse

    E-Mail-Adresse, an die der Bestätigungslink geschickt wird.

    Dauerhaft deaktiviert

    aktiviert

    Keine Vererbung

    aktiviert

  2. Die Attestierung startet automatisch.

    Genutzte Attestierungsrichtlinie: Zertifizierung neuer Benutzer

    Hinweis: Die Attestierung startet nur dann automatisch, wenn der Konfigurationsparameter QER | Attestation | UserApproval aktiviert ist. Andernfalls bleibt der neue Benutzer dauerhaft deaktiviert, bis ein Verantwortlicher die Personenstammdaten manuell ändert.
  3. Die Attestierer werden ermittelt.

    Wirksame Entscheidungsrichtlinie: Zertifizierung von Benutzern

  4. Wenn der Konfigurationsparameter QER | Attestation | ApproveNewExternalUsers aktiviert ist und der Wert 1 eingestellt ist, wird der Attestierungsvorgang den Mitgliedern der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer vorgelegt.

    1. Wenn ein Attestierer für externe Benutzer die Attestierung ablehnt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
      Tabelle 52: Eigenschaften einer externen Person mit abgelehnter Attestierung

      Eigenschaft

      Wert

      Erläuterung

      Zertifizierungsstatus

      Abgelehnt

       

      Extern

      aktiviert

       

      Dauerhaft deaktiviert

      aktiviert

      Der Benutzer kann sich nicht am Web Portal anmelden.

      Keine Vererbung

      aktiviert

      Unternehmensressourcen werden nicht vererbt.

    2. Wenn ein Attestierer für externe Benutzer der Attestierung zustimmt, wird eine E-Mail mit einem Bestätigungslink an den neuen Benutzer versendet.

    HINWEIS: Wenn der Konfigurationsparameter QER | Attestation | ApproveNewExternalUsers deaktiviert ist oder der Wert 0 eingestellt ist, wird sofort eine E-Mail mit dem Bestätigungslink an den neuen Benutzer versendet.

  5. Sobald der Benutzer dem Bestätigungslink gefolgt ist und ein Kennwort sowie die Kennwortfragen festgelegt hat, wird der Attestierungsvorgang genehmigt. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.

    Tabelle 53: Eigenschaften einer externen Person mit genehmigter Attestierung

    Eigenschaft

    Wert

    Erläuterung

    Zertifizierungsstatus

    Zertifiziert

     

    Extern

    aktiviert

     

    Dauerhaft deaktiviert

    deaktiviert

    Der Benutzer kann sich am Web Portal anmelden.

    Keine Vererbung

    deaktiviert

    Unternehmensressourcen werden vererbt.

Standardmäßig ist der Bestätigungslink 4 Stunden gültig. Wenn die Anmeldung am Kennwortrücksetzungsportal fehl schlägt, weil diese Zeit abgelaufen ist, kann der Benutzer sich einen neuen Bestätigungslink zusenden lassen.

Wenn der Benutzer die Registrierung nicht innerhalb von 24 Stunden abgeschlossen hat, wird der Attestierungsvorgang abgebrochen. Um sich dennoch zu registrieren, muss sich der Benutzer erneut vollständig am Web Portal anmelden.

Verwandte Themen

Anlegen neuer Personen durch einen Manager oder Personenadministrator

Eine Attestierung neuer Benutzer ist auch dann möglich, wenn im Manager neue Personen angelegt werden oder wenn ein Manager im Web Portal einen neuen Mitarbeiter hinzufügt. Das gewünschte Verhalten wird am Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState festgelegt. Standardmäßig hat der Konfigurationsparameter den Wert 0. Damit erhält jede neue Person den Zertifizierungsstatus Zertifiziert. Es wird keine automatische Attestierung durchgeführt.

Damit neue Benutzer automatisch attestiert werden können

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState und setzen Sie den Wert auf 1.

    Alle Personen, die ab diesem Zeitpunkt neu in der Datenbank angelegt werden, erhalten den Zertifizierungsstatus Neu. Damit wird eine automatische Attestierung dieser Personen durchgeführt.

Für interne und externe Personen gelten jeweils unterschiedliche Abläufe.

Ablauf der Attestierung:

  1. Erfassen Sie die Stammdaten des neuen Benutzers und ordnen Sie einen Manager zu.

    Ausführliche Informationen zum Anlegen von Personen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul und im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

    Der Zertifizierungsstatus entspricht dem Wert des Konfigurationsparameters QER | Attestation | UserApproval | InitialApprovalState. Wenn am Konfigurationsparameter der Wert 1 gesetzt ist, wird der Zertifizierungsstatus Neu gesetzt.

    Die Person ist standardmäßig aktiviert. Sie kann sich daher sofort am One Identity Manager anmelden. Damit die Person sich erst dann am One Identity Manager anmelden kann, wenn ihre Stammdaten attestiert wurden, deaktivieren Sie die Person.

    • Führen Sie dafür die Aufgabe Person dauerhaft deaktivieren aus.

  2. Sobald die Personenstammdaten gespeichert wurden, startet die Attestierung.

    Genutzte Attestierungsrichtlinie: Zertifizierung neuer Benutzer

  3. Die Attestierer werden ermittelt.

    Wirksame Entscheidungsrichtlinie: Zertifizierung von Benutzern

  4. Wenn an der Person die Option Extern aktiviert ist:

    Die Attestierung läuft wie im Abschnitt Selbstregistrierung neuer Benutzer im Web Portal, Schritt 4 bis 5 beschrieben ab.

  5. Wenn an der Person die Option Extern deaktiviert ist:
    1. Der One Identity Manager prüft, ob der Person ein Manager zugeordnet wurde.
      • Wenn der Person ein Manager zugeordnet wurde, wird der Vorgang sofort diesem Manager zur Entscheidung zugewiesen.

      • Wenn der Person kein Manager zugeordnet wurde, wird der Vorgang den Personenadministratoren zur Entscheidung zugewiesen.

    2. Ein Personenadministrator prüft die Stammdaten des neuen Benutzers und ordnet gegebenenfalls einen Manager zu.
      • Ein Personenadministrator ordnet einen Manager zu und stimmt der Attestierung zu. Der Vorgang wird dem Manager zur Entscheidung zugewiesen.

      • Wenn ein Personenadministrator keinen Manager zuordnet und der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.

        Tabelle 54: Eigenschaften einer Person mit genehmigter Attestierung

        Eigenschaft

        Wert

        Erläuterung

        Zertifizierungsstatus

        Zertifiziert

         

        Extern

        deaktiviert

         

        Dauerhaft deaktiviert

        deaktiviert

         

        Keine Vererbung

        deaktiviert

        Unternehmensressourcen werden vererbt.

      • Wenn ein Personenadministrator die Attestierung ablehnt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.

        Tabelle 55: Eigenschaften einer Person mit abgelehnter Attestierung

        Eigenschaft

        Wert

        Erläuterung

        Zertifizierungsstatus

        Abgelehnt

         

        Extern

        deaktiviert

         

        Dauerhaft deaktiviert

        aktiviert

         

        Keine Vererbung

        aktiviert

        Unternehmensressourcen werden nicht vererbt.

        Benutzerkonten werden nicht automatisch erstellt.

    3. Der Manager kann die Attestierung ablehnen, wenn er nicht der verantwortliche Manager dieses Benutzers ist.
      • Er kann eine andere Person als Manager zuordnen. Diesem wird der Vorgang sofort zur Entscheidung zugewiesen.

      • Wenn ihm der korrekte Manager nicht bekannt ist, wird die Entscheidung an die Personenadministratoren zurückgegeben. Diese können

        • einen anderen Manager zuordnen,

        • keinen neuen Manager zuordnen und der Attestierung zustimmen oder

        • die Attestierung ablehnen.

    4. Wenn der Manager der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
      Tabelle 56: Eigenschaften einer Person mit genehmigter Attestierung

      Eigenschaft

      Wert

      Erläuterung

      Zertifizierungsstatus

      Zertifiziert

       

      Extern

      deaktiviert

       

      Dauerhaft deaktiviert

      deaktiviert

       

      Keine Vererbung

      deaktiviert

      Unternehmensressourcen werden vererbt.

      HINWEIS: Die Attestierung endgültig ablehnen können nur die Personenadministratoren. Wenn ein Manager die Attestierung ablehnt, wird der Vorgang in jedem Fall an die Personenadministratoren zur Entscheidung zurückgewiesen.
Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen