Chat now with support
Chat mit Support

Identity Manager 9.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Zertifizierung neuer Rollen und Organisationen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Verarbeitung von Attestierungsmails

Der Zeitplan Verarbeiten der Entscheidungen von Attestierungen per E-Mail startet den Prozess VI_Attestation_Process Approval Inbox. Dieser Prozess führt das Skript VI_MailApproval_ProcessInBox aus, welches das Postfach nach neuen Attestierungsmails durchsucht und die Attestierungsvorgänge in der One Identity Manager-Datenbank aktualisiert. Dabei wird der Inhalt der Attestierungsmail verarbeitet.

HINWEIS: Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!

Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der One Identity Manager Service läuft, diesem Rootzertifikat vertrauen.

TIPP: Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover-Dienst läuft.

Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter QER | Attestation | MailApproval | ExchangeURI an.

Attestierungsmails werden durch das Skript VI_MailApproval_ProcessMail verarbeitet. Das Skript ermittelt die getroffene Entscheidung, aktiviert bei positiver Entscheidung die Option Genehmigt und hinterlegt die Begründung für die Entscheidung an den Attestierungsvorgängen. Über die Absenderadresse wird der Attestierer ermittelt. Danach wird die Attestierungsmail abhängig vom gewählten Aufräumverfahren aus dem Postfach entfernt.

HINWEIS: Wenn Sie eine unternehmensspezifische Mailvorlage für die Attestierungsmail nutzen, prüfen Sie das Skript und passen Sie es gegebenenfalls an. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!

Attestierung über adaptive Karten

Um Attestierern, die zeitweilig keinen Zugang zu den One Identity Manager Werkzeugen haben, die Möglichkeit zu geben, Attestierungsvorgänge zu entscheiden, können Sie adaptive Karten versenden. Adaptive Karten enthalten alle Informationen zum Attestierungsvorgang, die für die Attestierung nötig sind. Dazu gehören:

  • Aktuelle und nächste Attestierer

  • Attestierungshistorie

  • Link auf den Attestierungsvorgang im Web Portal

  • Möglichkeit zur Auswahl einer Standardbegründung oder Eingabe einer Begründung als Freitext

  • Hinweis, wenn durch die Ablehnung der Attestierung die attestierte Berechtigung automatisch entzogen wird

  • Hinweis, ob das Attestierungsobjekt bereits zuvor mit der selben Attestierungsrichtlinie attestiert wurde

One Identity Starling Cloud Assistant übermittelt die adaptiven Karten über einen festgelegten Kanal an die Attestierer, wartet auf deren Antwort und sendet diese an den One Identity Manager. Aktuell können Slack und Microsoft Teams für die Übermittlung der adaptiven Karten genutzt werden. In Starling Cloud Assistant werden die Kanäle konfiguriert und können für jeden Empfänger separat festgelegt werden.

Voraussetzungen
Verwandte Themen

Adaptive Karten für Attestierungen nutzen

Damit Attestierer Attestierungsvorgänge über adaptive Karten entscheiden können, müssen sie als Empfänger in Starling Cloud Assistant registriert werden. Jedem Empfänger muss ein Kanal zugeordnet werden, über den die adaptiven Karten zugestellt werden. One Identity Manager stellt adaptive Karten für die Aufforderung zur Attestierung in Deutsch und Englisch bereit. Diese können bei Bedarf unternehmensspezifisch angepasst werden.

Eine Entscheidung muss standardmäßig innerhalb von einem Tag getroffen werden. Ist diese Zeit überschritten, muss das Web Portal genutzt werden, um den Attestierungsvorgang zu entscheiden. Diese Ablaufzeit kann konfiguriert werden.

Um adaptive Karten für Attestierungen nutzen zu können

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | Starling | UseApprovalAnywhere.

  2. Stellen Sie sicher, dass für jede Person, die adaptive Karten nutzen soll, in One Identity Manager eine Standard-E-Mail-Adresse hinterlegt ist. Diese Adresse muss der E-Mail-Adresse entsprechen, mit der sich die Person an Microsoft Teams oder Slack anmeldet.

    Ausführliche Informationen zur Standard-E-Mail-Adresse finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  3. Stellen Sie sicher, dass für jede Person, die adaptive Karten nutzen soll, eine Sprache ermittelt werden kann. So können die Attestierer die adaptiven Karten in ihrer Sprache erhalten.

    Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  4. Deaktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailTemplateIdents | RequestApproverByCollection.

    - ODER -

    Aktivieren Sie an der Attestierungsrichtlinie Benachrichtigungen über offene Attestierungen immer versenden. Damit können für einzelne Attestierungsrichtlinien die adaptiven Karten auch dann versendet werden, wenn die zeitgesteuerte Aufforderung zur Attestierung über E-Mail Benachrichtigungen konfiguriert ist.

  5. Ordnen Sie den Entscheidungsschritten auf dem Tabreiter Mailvorlagen eine Mailvorlage Aufforderung zu.

  6. Registrieren Sie alle Personen, welche adaptive Karten für Attestierungen nutzen sollen, als Empfänger (Recipient) in Starling Cloud Assistant und ordnen Sie den zu verwendenden Kanal (Channel) zu.

  7. Installieren Sie die zum Kanal passende Starling Cloud Assistant App.

    Jede registrierte Person muss diese App installieren.

    Ausführliche Informationen dazu finden Sie im One IdentityStarling Cloud Assistant User Guide unter https://support.oneidentity.com/starling-cloud-assistant/hosted/technical-documents.

  8. (Optional) Ändern Sie die Ablaufzeit für adaptive Karten.

    • Aktivieren Sie im Designer den Konfigurationsparameters QER | Person | Starling | UseApprovalAnywhere | SecondsToExpire und passen Sie den Wert an. Erfassen Sie die Ablaufzeit in Sekunden.

  9. (Optional) Stellen Sie landesspezifische Vorlagen für adaptive Karten bereit oder passen Sie weitere Einstellungen der adaptiven Karte an.

    Wenn keine Sprache ermittelt werden kann oder für die ermittelte Sprache keine passende Vorlage vorhanden ist, wird en-US als Fallback genutzt.

Detaillierte Informationen zum Thema

Empfänger und Kanäle hinzufügen und löschen

Attestierer können über eine IT Shop Bestellung als Empfänger in Starling Cloud Assistant registriert werden und sich einen Kanal zuordnen. Die Bestellungen werden standardmäßig per Selbstbedienung sofort genehmigt. Anschließend werden die Empfänger registriert und der bestellte Kanal zugeordnet. Sobald die Attestierer die Starling Cloud Assistant App installiert haben, können sie Attestierungen über adaptive Karten ausführen.

Um einen Empfänger in Starling Cloud Assistant hinzuzufügen

  • Bestellen Sie im Web Portal das Produkt Neuer Starling Cloud Assistant Empfänger.

Um Microsoft Teams als Kanal in Starling Cloud Assistant zuzuordnen

  1. Bestellen Sie im Web Portal das Produkt Teams-Kanal für Starling Cloud Assistant Empfänger.

  2. Installieren Sie die Starling Cloud Assistant App für Microsoft Teams.

    Ausführliche Informationen dazu finden Sie im One IdentityStarling Cloud Assistant User Guide unter https://support.oneidentity.com/starling-cloud-assistant/hosted/technical-documents.

Um Slack als Kanal in Starling Cloud Assistant zuzuordnen

  1. Bestellen Sie im Web Portal das Produkt Slack-Kanal für Starling Cloud Assistant Empfänger.

  2. Installieren Sie die Starling Cloud Assistant App für Slack.

    Ausführliche Informationen dazu finden Sie im One IdentityStarling Cloud Assistant User Guide unter https://support.oneidentity.com/starling-cloud-assistant/hosted/technical-documents.

Um einen Empfänger in Starling Cloud Assistant zu löschen

  • Bestellen Sie das Produkt Neuer Starling Cloud Assistant Empfänger ab.

Um einen Kanal zu entfernen

  • Bestellen Sie das jeweilige Produkt ab.

Ausführliche Informationen zum Bestellen und Abbestellen von Produkten finden Sie im One Identity Manager Web Portal Anwenderhandbuch.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen