Chat now with support
Chat mit Support

Identity Manager 9.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Zertifizierung neuer Rollen und Organisationen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Ermitteln der verantwortlichen Attestierer

Welche Person in welcher Entscheidungsebene entscheidungsberechtigt ist, wird durch den DBQueue Prozessor berechnet. Sobald eine Attestierung ausgelöst wird, werden die Attestierer für alle Entscheidungsschritte des zu durchlaufenden Entscheidungsworkflows ermittelt. Änderungen in den Verantwortlichkeiten können dazu führen, dass eine Person für eine Attestierung, die noch nicht abschließend genehmigt ist, nun nicht mehr entscheidungsberechtigt ist. In diesem Fall müssen die Attestierer neu berechnet werden. Folgende Änderungen können eine Neuberechnung für noch nicht genehmigte Attestierungen auslösen:

  • Entscheidungsrichtlinie, -workflow, -schritt oder -verfahren wurde geändert.

  • Eine entscheidungsberechtigte Person verliert ihre Verantwortlichkeiten im One Identity Manager, beispielsweise wenn der Manager einer Abteilung, der Entscheider der Attestierungsrichtlinie oder der Zielsystemverantwortliche geändert wird.

  • Eine Person erhält Verantwortlichkeiten im One Identity Manager und wird dadurch entscheidungsberechtigt, beispielsweise als Manager der zu attestierenden Person.

  • Eine entscheidungsberechtigte Person wird deaktiviert.

Sobald für eine Person eine Verantwortlichkeit im One Identity Manager geändert wird, wird ein Auftrag zur Neuberechnung der Attestierer in die DBQueue eingestellt. Dabei werden standardmäßig alle Entscheidungsschritte der offenen Attestierungsvorgänge neu berechnet. Bereits genehmigte Entscheidungsschritte bleiben genehmigt, auch wenn sich deren Attestierer geändert hat. Abhängig von der Konfiguration der Systemumgebung und der Menge der zu verarbeitenden Daten kann die Neuberechnung der Attestierer viel Zeit beanspruchen. Um diese Verarbeitungszeit zu optimieren, können Sie festlegen, für welche Entscheidungsschritte die Attestierer neu berechnet werden sollen.

Um die Neuberechnung der Attestierer zu konfigurieren

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | ReducedApproverCalculation und wählen Sie als Wert eine der folgenden Optionen.

    Tabelle 32: Optionen für die Neuberechnung von Attestierern
    Option Beschreibung

    No

    Alle Entscheidungsschritte werden neu berechnet. Dieses Verhalten gilt auch, wenn der Konfigurationsparameter deaktiviert ist.

    Vorteil: Im Entscheidungsverlauf werden alle gültigen Attestierer angezeigt. Der weitere Entscheidungsverlauf ist transparent.

    Nachteil: Die Neuberechnung der Attestierer kann viel Zeit beanspruchen.

    CurrentLevel

    Es werden nur die Attestierer für die aktuell zu bearbeitende Entscheidungsebene neu berechnet. Sobald eine Entscheidungsebene genehmigt wurde, werden die Attestierer für die folgende Entscheidungsebene aktuell ermittelt.

    Vorteil: Die Anzahl der zu berechnenden Entscheidungsebenen wird reduziert. Die Berechnung der Attestierer wird möglicherweise beschleunigt.

    TIPP: Nutzen Sie diese Option, wenn in Ihrer Umgebung Performance-Probleme im Zusammenhang mit der Neuberechnung der Attestierer auftreten.

    Nachteil: Im Entscheidungsverlauf werden für jeden nachfolgenden Entscheidungsschritt noch die ursprünglich berechneten Attestierer angezeigt, die gegebenenfalls nicht mehr entscheidungsberechtigt sind. Die Darstellung des weiteren Entscheidungsverlaufs ist möglicherweise nicht korrekt.

    NoRecalc

    Keine Neuberechnung der Attestierer. Für die aktuelle Entscheidungsebene bleiben die bisherigen Attestierer entscheidungsberechtigt. Sobald eine Entscheidungsebene genehmigt wurde, werden die Attestierer für die folgende Entscheidungsebene aktuell ermittelt.

    Vorteil: Die Anzahl der zu berechnenden Entscheidungsebenen wird reduziert. Die Berechnung der Attestierer wird möglicherweise beschleunigt.

    TIPP: Nutzen Sie diese Option, wenn in Ihrer Umgebung Performance-Probleme im Zusammenhang mit der Neuberechnung der Attestierer auftreten, obwohl die Option CurrentLevel genutzt wird.

    Nachteil: Im Entscheidungsverlauf werden für jeden nachfolgenden Entscheidungsschritt noch die ursprünglich berechneten Attestierer angezeigt, die gegebenenfalls nicht mehr entscheidungsberechtigt sind. Die Darstellung des weiteren Entscheidungsverlaufs ist möglicherweise nicht korrekt. Die aktuelle Entscheidungsebene können Personen entscheiden, die nicht mehr entscheidungsberechtigt sind.

    Im ungünstigen Fall wurden hier ursprünglich nur Attestierer ermittelt, die nun keinen Zugang zum One Identity Manager haben, beispielsweise weil sie das Unternehmen verlassen haben. Die Entscheidungsebene kann nicht entschieden werden.

    Um solche Entscheidungsschritte dennoch abschließen zu können

    • Definieren Sie beim Einrichten der Entscheidungsworkflows an den Entscheidungsschritten ein Timeout und das Verhalten bei Timeout.

      - ODER -

    • Weisen Sie beim Einrichten der Attestierung Mitglieder an die zentrale Entscheidergruppe zu. Diese können jederzeit in offene Attestierungsvorgänge eingreifen.

Detaillierte Informationen zum Thema
Verwandte Themen

Einrichten der Multifaktor-Authentifizierung für Attestierungen

Für bestimmte sicherheitskritische Attestierungen kann eine zusätzliche Authentifizierung eingerichtet werden. Dabei muss sich jeder Attestierer bei der Attestierung zusätzlich authentifizieren. Welche Attestierungsrichtlinien diese Authentifizierung benötigen, legen Sie an den Attestierungsrichtlinien fest.

Für die Multifaktor-Authentifizierung nutzt der One Identity ManagerOneLogin. Die nutzbaren Authentifizierungsmethoden werden über die OneLogin Benutzerkonten ermittelt, mit denen die Personen verbunden sind.

Voraussetzungen

In OneLogin:

  • Für alle Benutzerkonten, die für die Multifaktor-Authentifizierung genutzt werden sollen, ist mindestens eine Authentifizierungsmethode konfiguriert.

In One Identity Manager:

  • Das OneLogin Modul ist vorhanden.

  • Die Synchronisation mit einer OneLogin Domäne ist eingerichtet und wurde mindestens einmal ausgeführt.

  • Personen sind mit OneLogin Benutzerkonten verbunden.

  • Der API Server und die Webanwendung sind entsprechend konfiguriert.

Ausführliche Informationen zum Einrichten der Multifaktor-Authentifizierung finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Um die Multifaktor-Authentifizierung für Attestierungen nutzen zu können

  1. Wählen Sie im Manager die Attestierungsrichtlinien, für welche die Multifaktor-Authentifizierung genutzt werden soll.

  2. Aktivieren Sie Entscheidung durch Multifaktor Authentifizierung.

    Für Standard-Attestierungsrichtlinien kann die Multifaktor-Authentifizierung nicht genutzt werden.

Sobald an einer Attestierungsrichtlinie die Option Entscheidung durch Multifaktor Authentifizierung aktiviert ist, wird in jedem Entscheidungsschritt des Genehmigungsverfahrens eine zusätzliche Authentifizierung angefordert. Die Attestierer können zwischen allen Authentifizierungsmethoden wählen, die ihren OneLogin Benutzerkonten zugewiesen sind.

WICHTIG: Eine Attestierung per E-Mail ist nicht möglich, wenn für die Attestierungsrichtlinie die Multifaktor-Authentifizierung konfiguriert ist. Attestierungsmails für solche Attestierungen bewirken eine Fehlermeldung.

Ausführliche Informationen zur Multifaktor-Authentifizierung bei Attestierungen finden Sie im One Identity Manager Web Portal Anwenderhandbuch.

Verwandte Themen

Attestierung durch die zu attestierende Person verhindern

In einem Attestierungsvorgang kann das Attestierungsobjekt gleichzeitig als Attestierer ermittelt werden. Damit können die zu attestierenden Personen sich selbst attestieren. Um das zu verhindern, aktivieren Sie den Konfigurationsparameter QER | Attestation | PersonToAttestNoDecide.

HINWEIS:

  • Eine Änderung des Konfigurationsparameters wirkt nur auf neu zu erstellende Attestierungsvorgänge. Für bereits bestehende Attestierungsvorgänge werden die Attestierer nicht neu berechnet.

  • Die Einstellung der Konfigurationsparameter gilt auch für Fallback-Entscheider; sie gilt nicht für die zentrale Entscheidergruppe.

  • Wenn am Entscheidungsschritt die Option Entscheidung durch betroffene Person aktiviert ist, hat der Konfigurationsparameter keine Wirkung.

Um zu verhindern, dass eine Person sich selbst attestieren darf

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PersonToAttestNoDecide.

Der Konfigurationsparameter wirkt auf alle Attestierungsvorgänge, in denen Personen, die im Attestierungsobjekt oder in den Objektbeziehungen enthalten sind, gleichzeitig als Attestierer ermittelt werden. Folgende Personen werden aus dem Kreis der Attestierer entfernt:

  • Personen, die in AttestationCase.ObjectKeyBase enthalten sind

  • Personen, die in AttestationCase.UID_ObjectKey1, ObjectKey2 oder ObjectKey3 enthalten sind

  • die Hauptidentitäten dieser Personen

  • alle Subidentitäten dieser Hauptidentitäten

Ist der Konfigurationsparameter nicht aktiviert oder ist am Entscheidungsschritt die Option Entscheidung durch betroffene Person aktiviert, dürfen diese Personen sich selbst attestieren.

Verwandte Themen

Eigenschaften eines Entscheidungsschritts

Phasen der Attestierung

Bei der Durchführung von Attestierungen kann es hilfreich sein, vorab zu prüfen, ob die korrekten Attestierungsobjekte generiert und die passenden Entscheider ermittelt werden. Dabei wird entschieden, ob das Genehmigungsverfahren wie definiert bereitgestellt und für Attestierungen genutzt werden kann oder angepasst werden muss. Eine solche Bereitstellungsphase kann bei Bedarf an den Beginn der Genehmigungsverfahren gestellt werden.

Wenn mit einer abgelehnten Attestierung der Entzug von Berechtigungen verbunden ist, kann den betroffenen Personen die Möglichkeit eingeräumt werden, die Ablehnung anzufechten und damit den Entzug der Berechtigungen zu verhindern. Eine solche Anfechtungsphase kann bei Bedarf an das Ende der Genehmigungsverfahren gestellt werden. Abhängig vom Ergebnis der Anfechtung können Berechtigungen anschließend automatisch oder manuell entzogen werden.

Genehmigungsverfahren können somit in vier Phasen eingeteilt werden:

  1. (Optional) Bereitstellen

    Verantwortliche für Attestierungen, konkret die Eigentümer der jeweiligen Attestierungsrichtlinie, erhalten hier die Möglichkeit, die Details eines Attestierungslaufs zu prüfen. Damit können Umfang und Ablauf der Attestierung beurteilt werden, bevor die Attestierung durchgeführt wird. Wenn dabei Fehler in den generierten Attestierungsvorgängen festgestellt werden, können die betroffenen Attestierungsvorgänge abgebrochen, die Fehler behoben und die Attestierung neu gestartet werden.

    Die Bereitstellungsphase kann in Genehmigungsverfahren für beliebige Attestierungsobjekte integriert werden.

  2. Attestieren

    Die Attestierung wird entsprechend dem definierten Entscheidungsworkflow durchgeführt.

  3. (Optional) Anfechten

    Wenn eine Attestierung endgültig abgelehnt wird, kann den betroffenen Personen die Möglichkeit gegeben werden, diese Ablehnung anzufechten. Die attestierten Personen haben damit die Möglichkeit ihre berechtigten Interessen anzumelden, bevor eine benötigte Berechtigung entzogen wird. So kann verhindert werden, dass beispielsweise eine kurzfristig benötigte Berechtigung durch eine zeitgesteuerte Attestierung entzogen wird und anschließend mit zusätzlichem Aufwand wieder zugewiesen werden muss.

    Eine Anfechtung ist möglich, wenn Benutzerkonten, Mitgliedschaften in Rollen und Organisationen oder Mitgliedschaften in Systemberechtigungen attestiert werden.

  4. (Optional) Berechtigungen automatisch entziehen

    Wenn eine Attestierung endgültig abgelehnt wird, kann die abgelehnte Berechtigung sofort automatisch entzogen werden. Dafür wird am Ende des Entscheidungsworkflows ein automatischer Entscheidungsschritt mit einer extern vorzunehmenden Entscheidung eingefügt.

Für alle vier Phasen werden passende Entscheidungsebenen in den Entscheidungsworkflows definiert.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen