Chat now with support
Chat mit Support

Identity Manager 9.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Zertifizierung neuer Rollen und Organisationen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Bereitstellungsphase einrichten

Für die Bereitstellungsphase wird zu Beginn des Entscheidungsworkflows eine Entscheidungsebene eingefügt, in der die Eigentümer der Attestierungsrichtlinie als Entscheider ermittelt werden. Alle Attestierungsvorgänge eines Attestierungslaufs werden somit einer einzelnen Person (AttestationPolicy.UID_PersonOwner) oder einer Personengruppe (AttestationPolicy.UID_AERoleOwner) zur Prüfung vorgelegt.

Die Bereitstellungsphase kann beispielsweise eingerichtet werden, wenn die Attestierungsrichtlinie oder ihre Komponenten (Attestierungsverfahren, Entscheidungsworkflow und so weiter) neu erstellt wurden und geprüft werden soll, ob sie die erwarteten Ergebnisse liefern.

Um die Bereitstellungsphase einzurichten

  1. Erstellen Sie im Manager einen neuen Entscheidungsworkflow oder bearbeiten Sie einen bestehenden Entscheidungsworkflow.

  2. Fügen Sie zu Beginn des Workflows eine neue Entscheidungsebene ein und erfassen Sie die Eigenschaften des Entscheidungsschritts.

    • Entscheidungsverfahren: PW - Eigentümer der Attestierungsrichtlinie

  3. Ziehen Sie den Verbinder Genehmigung von der Entscheidungsebene für die Prüfung zur nächsten Entscheidungsebene.

  4. Speichern Sie die Änderungen.

  5. Weisen Sie den Entscheidungsworkflow an eine Entscheidungsrichtlinie zu.

  6. Weisen Sie die Entscheidungsrichtlinie an eine Attestierungsrichtlinie zu.

  7. Weisen Sie der Attestierungsrichtlinie einen einzelnen Eigentümer oder eine Anwendungsrolle als Eigentümer zu.

  8. Bearbeiten Sie die Stammdaten des Attestierungsverfahrens, das der Attestierungsrichtlinie zugeordnet ist.

    • Erfassen Sie auf dem Tabreiter Vorlagen im Eingabefeld Textvorlage einen Text, der die Aufgabe der Prüfer und Attestierer beschreibt.

      Beispiel: 

      Für Prüfer: Enthält der Attestierungsvorgang die korrekten Daten zum Attestierungsobjekt und werden die richtigen Attestierer ermittelt?
      Für Attestierer: Sind die Daten des Attestierungsobjekts korrekt und aktuell?
  9. Speichern Sie die Änderungen.

Mit dieser Workflowkonfiguration wird die Attestierungsphase gestartet, sobald ein Eigentümer der Attestierungsrichtlinie die Bereitstellung genehmigt. Wenn der Entscheidungsschritt abgelehnt wird, wird die Attestierung für den aktuellen Attestierungsvorgang endgültig abgelehnt und notwendige Korrekturen können vorgenommen werden.

Detaillierte Informationen zum Thema
Verwandte Themen

Prüfkriterien für die Bereitstellungsphase

In der Bereitstellungsphase wird zu Beginn jedes Attestierungslaufs für die Attestierungsrichtlinie geprüft, ob die erzeugten Attestierungsvorgänge korrekt sind. Prüfkriterien können sein:

  • Umfang der Attestierung

    Werden zu viele oder zu wenige Attestierungsvorgänge erzeugt?

    -> Muss die Bedingung der Attestierungsrichtlinie anders formuliert werden?

  • Ablauf der Attestierung

    Werden die richtigen Attestierer in der richtigen Reihenfolge ermittelt?

    -> Muss der Entscheidungsworkflow geändert werden?

  • Details der Attestierungsobjekte, die den Attestierern angezeigt werden

    • Werden zu viele oder zu wenige Detailinformationen angezeigt?

      -> Muss der Bericht oder der Inhalt des Snapshots am Attestierungsverfahren geändert werden?

    • Werden falsche Informationen angezeigt?

      -> Müssen die Stammdaten des Attestierungsobjekts korrigiert werden?

Wenn Fehler nur an einzelnen Attestierungsvorgängen festgestellt werden, können Sie diese Attestierungen ablehnen und die notwendigen Korrekturen an den Attestierungsobjekten vornehmen. Alle übrigen Attestierungsvorgänge können genehmigt werden und damit das weitere Genehmigungsverfahren durchlaufen.

Wenn grundsätzliche Fehler an der Attestierungsrichtlinie, am Attestierungsverfahren oder dem genutzten Entscheidungsworkflow festgestellt werden, können Sie alle noch offenen Attestierungsvorgänge markieren, gemeinsam ablehnen und anschließend die notwendigen Korrekturen vornehmen.

Verwandte Themen

Anfechtungsphase einrichten

Wenn eine Attestierung endgültig abgelehnt wird, kann den betroffenen Personen die Möglichkeit gegeben werden, diese Ablehnung anzufechten. Die Anfechtung kann insbesondere dann nützlich sein, wenn im Anschluss an abgelehnte Attestierungen Berechtigungen automatisch entzogen werden sollen. Die Betroffenen können das in letzter Instanz verhindern.

Um die Anfechtungsphase einzurichten

  1. Bearbeiten Sie im Manager einen Entscheidungsworkflow und fügen Sie am Ende des Workflows eine neue Entscheidungsebene ein.

  2. Erfassen Sie die Eigenschaften des Entscheidungsschritts.

    • Entscheidungsverfahren: CN - Anfechtung der Entscheidung

    Wenn der Workflow eine Entscheidungsebene zum automatischen Entzug der attestierten Berechtigung enthält, muss die Entscheidungsebene für die Anfechtung unmittelbar davor eingefügt werden.

  3. Ziehen Sie den Verbinder Ablehnung von der vorhergehenden Entscheidungsebene zur Entscheidungsebene für die Anfechtung.

  4. (Optional) Ziehen Sie den Verbinder Ablehnung von der Entscheidungsebene für die Anfechtung zur Entscheidungsebene für den automatischen Entzug von Berechtigungen.

  5. Speichern Sie die Änderungen.

  6. Weisen Sie den Entscheidungsworkflow an eine Entscheidungsrichtlinie zu.

  7. Weisen Sie die Entscheidungsrichtlinie an eine Attestierungsrichtlinie zu.

    Eine Anfechtung ist möglich, wenn Benutzerkonten, Mitgliedschaften in Rollen und Organisationen oder Mitgliedschaften in Systemberechtigungen attestiert werden.

  8. Bearbeiten Sie die Stammdaten des Attestierungsverfahrens, das der Attestierungsrichtlinie zugeordnet ist.

    • Erfassen Sie auf dem Tabreiter Vorlagen im Eingabefeld Textvorlage einen Text, der die Aufgabe der Attestierer beschreibt.

      Beispiel: 

      Für Attestierer: Sind die Daten des Attestierungsobjekts korrekt und aktuell?
      Für Betroffene: Wird die Ablehnung angefochten?
      - Ja: Genehmigen
      - Nein: Ablehnen
  9. Speichern Sie die Änderungen.

Mit dieser Workflowkonfiguration wird eine Attestierung final genehmigt, wenn der Anfechtungsschritt genehmigt, also die Ablehnung angefochten wird. Die Attestierung wird endgültig abgelehnt, wenn der Anfechtungsschritt abgelehnt, also die Entscheidung der Attestierer akzeptiert wird. Wenn der automatische Entzug von Berechtigungen konfiguriert ist, wird die attestierte Zuweisung dann automatisch entfernt.

Detaillierte Informationen zum Thema
Verwandte Themen

Entzug von Berechtigungen einrichten

Wenn eine Attestierung endgültig abgelehnt wird, kann die abgelehnte Berechtigung sofort automatisch entzogen werden. Dafür wird am Ende des Entscheidungsworkflows ein automatischer Entscheidungsschritt mit einer extern vorzunehmenden Entscheidung eingefügt.

Um den automatischen Entzug von Berechtigungen einzurichten

  1. Bearbeiten Sie im Manager einen Entscheidungsworkflow und fügen Sie am Ende des Workflows eine neue Entscheidungsebene ein.

  2. Erfassen Sie die Eigenschaften des Entscheidungsschritts.

    • Entscheidungsverfahren: EX - Extern vorzunehmende Entscheidung

    • Ereignis: AUTOREMOVE

  3. Ziehen Sie den Verbinder Ablehnung von der vorhergehenden Entscheidungsebene zur Entscheidungsebene für den automatischen Entzug von Berechtigungen.

  4. Speichern Sie die Änderungen.

  5. Weisen Sie den Entscheidungsworkflow an eine Entscheidungsrichtlinie zu.

  6. Weisen Sie die Entscheidungsrichtlinie an eine Attestierungsrichtlinie zu.

    Der automatische Entzug von Berechtigungen ist möglich, wenn Mitgliedschaften oder Zuweisungen zu Anwendungsrollen, Geschäftsrollen, Systemrollen oder Systemberechtigungen attestiert werden.

  7. Speichern Sie die Änderungen.

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | AutoRemovalScope und die untergeordneten Konfigurationsparameter.

  2. Wenn die Berechtigungen über IT Shop Bestellungen erworben wurden, legen Sie fest, ob diese Bestellungen abbestellt oder abgebrochen werden sollen. Aktivieren Sie dafür den Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName und wählen Sie einen Wert.

    • Abort: Bestellungen werden abgebrochen. Sie durchlaufen damit keinen Abbestellworkflow. Die bestellten Berechtigungen werden ohne zusätzliche Prüfung entzogen.

    • Unsubscribe: Bestellungen werden abbestellt. Sie durchlaufen den an den Entscheidungsrichtlinien hinterlegten Abbestellworkflow. Der Entzug der Berechtigung kann damit zusätzlich geprüft werden.

      Wenn die Abbestellung abgelehnt wird, wird die Berechtigung nicht entzogen, obwohl die Attestierung abgelehnt ist.

    Wenn der Konfigurationsparameter deaktiviert ist, werden die Bestellungen abgebrochen.

Detaillierte Informationen zum Thema
Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen