Chat now with support
Chat mit Support

Identity Manager 9.2.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Arbeitsdatenbank einrichten

Stellen Sie sicher, dass die minimalen Systemanforderungen für die Installation der Arbeitsdatenbank erfüllt sind. Ausführliche Informationen finden Sie im One Identity Manager Installationshandbuch.

Um die Arbeitsdatenbank einzurichten

  1. Installieren Sie eine Arbeitsdatenbank mit mindestens der Version 8.2.

    • Installieren Sie die gleichen Module, wie in der Zentraldatenbank, einschließlich dem Servicemodul Systemsynchronisation.

    • Installieren Sie zusätzlich das Modul Attestierung (ATT).

  2. Richten Sie einen Jobserver ein, der die Verarbeitung von SQL Prozessen für die Arbeitsdatenbank übernimmt.

  3. Um das Web Portal für Attestierungen nutzen zu können,

    1. Installieren Sie einen Anwendungsserver.

    2. Installieren Sie einen API Server.

    Ausführliche Informationen dazu finden Sie im One Identity Manager Installationshandbuch.

  4. Aktivieren Sie in der Arbeitsdatenbank die folgenden Konfigurationsparameter und geben Sie die Verbindungsdaten zum Anwendungsserver der Zentraldatenbank an.

    Nutzen Sie die selben Einstellungen, die auch bei der Einrichtung der Synchronisation zwischen Zentral- und Arbeitsdatenbank verwendet werden.

    • ISM | PrimaryDB | AppServer | AuthenticationString:

      Authentifizierungsdaten zum Aufbau einer Verbindung über die REST API des Anwendungsservers der Zentraldatenbank.

      Syntax: Module=<Authentication module>;<Property1>=<Value1>;<Property2>=<Value2>,…

      Erlaubt sind alle Authentifizierungsmodule, die der angesprochene Anwendungsserver zur Verfügung stellt. Ausführliche Informationen zu den Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

      Empfohlene Werte sind:

      • Module=DialogUser;User=<user name>;Password=<password>

      • Module=DialogUserAccountBased

      • Module=Token

        Für die Authentifizierung über ein OAuth 2.0/OpenID Connect Zugriffstoken geben Sie im Konfigurationsparameter ConnectionString zusätzlich ClientId, ClientSecret und TokenEndpoint an. Ausführliche Informationen zur OAuth 2.0/OpenID Connect Authentifizierung finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung

    • ISM | PrimaryDB | AppServer | ConnectionString:

      Verbindungsparameter für den Aufbau der Verbindung über die REST API des Anwendungsservers der Zentraldatenbank.

      Syntax: Url=<URL des Anwendungsservers>

      Wenn im Konfigurationsparameter AuthenticationString Module=Token gesetzt ist, werden zusätzlich folgende Parameter benötigt:

      • ClientId: Client-ID für die Authentifizierung am Tokenendpunkt

      • ClientSecret: Secret-Wert für die Authentifizierung am Tokenendpunkt

      • TokenEndpoint: URL des Tokenendpunktes

      Syntax: Url=<URL des Anwendungsservers>;ClientId=<Client-ID>;ClientSecret=<Secret>;TokenEndpoint=<Tokenendpunkt>

Verwandte Themen

Synchronisation zwischen Zentral- und Arbeitsdatenbank einrichten

Die Synchronisation zwischen Arbeits- und Zentraldatenbank übernimmt der One Identity Manager Konnektor. Sie können die Synchronisation durch Individualkonfiguration einrichten und dabei komplett manuell konfigurieren. Um sicherzustellen, dass alle für die Attestierung benötigten Daten in die Arbeitsdatenbank übertragen und die Ergebnisse der Attestierung rückübertragen werden, richten Sie die Systemsynchronisation ein. Dabei unterstützt der One Identity Manager Sie mit bereitgestellten Skripten.

Durch die Systemsynchronisation erstellen Sie ein Abbild ausgewählter Anwendungsdaten der Zentraldatenbank in der Arbeitsdatenbank. Die Synchronisationskonfiguration wird anhand ausgewählter Kriterien komplett automatisch erzeugt. Das Synchronisationsprojekt wird auf der Arbeitsdatenbank eingerichtet.

Um die Systemsynchronisation einzurichten gehen Sie wie im One Identity Manager Anwenderhandbuch für den One Identity Manager-Konnektor beschrieben vor.

Um die Systemsynchronisation einzurichten

  1. Statten Sie One Identity Manager Benutzer mit den erforderlichen Berechtigungen für die Einrichtung der Synchronisation aus.

  2. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  3. Bestimmen Sie, welche Anwendungsdaten attestiert werden sollen.

    1. Kennzeichnen Sie im Designer die dafür benötigten Tabellen und Spalten. Sie können dafür die bereitgestellten Skripte nutzen.

      HINWEIS: Durch die Skripte werden alle Tabellen und Spalten ausgewählt, welche attestierbare Anwendungsdaten enthalten. Wenn nur ein begrenzter Ausschnitt dieser Anwendungsdaten attestiert werden soll, können Sie die benötigten Tabellen und Spalten auch manuell kennzeichnen.

    2. Prüfen Sie die automatisch ausgewählten Tabellen und Spalten. Sie können die Auswahl an Ihre Anforderungen anpassen.

  4. Generieren Sie mit dem Synchronization Editor ein Synchronisationsprojekt.

    Nutzen Sie bei der Auswahl des Datenbanksystems die selben Einstellungen, die in den Konfigurationsparametern unter ISM | PrimaryDB | AppServer angegeben sind.

  1. Starten Sie die initiale Synchronisation.

Um die Tabellen und Spalten automatisch zu kennzeichnen

Führen Sie die folgenden Skripte mit einem geeigneten Programm zur Ausführung von SQL Abfragen auf der angegebenen Datenbank aus. Die Skripte befinden sich auf dem Installationsmedium im Verzeichnis ATT\dvd\AddOn\SDK\SystemSyncPreConfig.

  1. Führen Sie auf der Arbeitsdatenbank das Skript AttestationInAnotherOneIMDB_Part1_GeneralConfig.sql aus.

    Das Skript nimmt einige allgemeine Einstellungen vor.

  2. Führen Sie auf der Zentraldatenbank das Skript AttestationInAnotherOneIMDB_Part1_GeneralConfig.sql aus.

  3. Führen Sie auf der Arbeitsdatenbank das Skript AttestationInAnotherOneIMDB_Part2_TableConfig.sql aus.

    Das Skript wählt alle erforderlichen Tabellen aus und setzt die benötigten Werte für die Tabelleneigenschaften.

  4. Führen Sie auf der Arbeitsdatenbank das Skript AttestationInAnotherOneIMDB_Part3_ColumnConfig.sql aus.

    Das Skript wählt alle erforderlichen Spalten aus und legt die Mappingrichtung fest.

  5. Prüfen Sie die ausgewählten Tabellen und Spalten sowie die gesetzten Eigenschaften und passen Sie diese bei Bedarf an Ihre Anforderungen an.

HINWEIS:

  • Wenn Sie die zu synchronisierenden Tabellen oder Spalten ändern, nachdem das Synchronisationsprojekt generiert wurde, wird das Synchronisationsprojekt automatisch aktualisiert.

  • An einem generierten Synchronisationsprojekt dürfen nur die Verbindungsdaten zu den verbundenen Systemen manuell geändert werden.

Verwandte Themen

Attestierungen in der Arbeitsdatenbank einrichten und durchführen

Nachdem Sie initial alle Daten in die Arbeitsdatenbank eingelesen haben, richten Sie hier die Attestierung ein und starten Sie diese anschließend. Weitere Informationen finden Sie unter Attestierung und Rezertifizierung.

Der Status abgeschlossener Attestierungsvorgänge wird in der Attestierungsübersicht (Tabelle ISMObjectAttLast) gespeichert und sofort in die Zentraldatenbank provisioniert. Hier werden die anschließenden Prozesse ausgeführt, wie beispielsweise der Entzug von Berechtigungen nach einer abgelehnten Attestierung oder Risikoindexberechnungen.

HINWEIS: Wenn Attestierungen in einer Arbeitsdatenbank durchgeführt werden, werden die Risikoindizes der attestierten Objekte in der Zentraldatenbank auf Basis der Attestierungsübersicht (Tabelle ISMObjectAttLast) berechnet. Dafür werden separate Berechnungsvorschriften bereitgestellt.

Ausführliche Informationen zur Berechnung von Risikoindizes finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Verwandte Themen

Konfigurationsparameter für die Attestierung

Mit der Installation des Moduls sind zusätzliche Konfigurationsparameter im One Identity Manager verfügbar. Einige allgemeine Konfigurationsparameter sind für die Attestierung relevant. Die folgende Tabelle enthält eine Zusammenstellung aller für die Attestierung geltenden Konfigurationsparameter.

Tabelle 66: Übersicht der Konfigurationsparameter

Konfigurationsparameter

Beschreibung

QER | Attestation

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Attestierung. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.

Ist der Parameter aktiviert, können Sie die Attestierungsfunktion nutzen.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

QER | Attestation | AERoleApproval

Unterhalb dieses Konfigurationsparameters wird die Zertifizierung von Anwendungsrollen konfiguriert.

QER | Attestation | AERoleApproval | InitialApprovalState

Zertifizierungsstatus für neue Anwendungsrollen. Wenn eine Anwendungsrolle mit dem Status 1 (Neu) angelegt wird, wird eine Attestierung der Daten durch deren Manager ausgelöst.

QER | Attestation | AllowAllReportTypes

Der Konfigurationsparameter legt fest, ob für Attestierungsrichtlinien alle Berichtsformate erlaubt sind. Standardmäßig ist nur PDF erlaubt, da dies als einziges Format revisionssicher ist.

QER | Attestation | ApproveNewExternalUsers

Der Konfigurationsparameter legt fest, ob neue externe Benutzer attestiert werden müssen, bevor sie aktiviert werden.

QER | Attestation |
AutoCloseInactivePerson

Ist der Konfigurationsparameter aktiviert, werden offene Attestierungsvorgänge für eine Identität geschlossen, sobald die Identität dauerhaft deaktiviert wird.

QER | Attestation | AutoRemovalScope

Allgemeiner Konfigurationsparameter zur Definition des automatischen Entzugs von Berechtigungen nach einer negativen Entscheidung im Rahmen einer Attestierung.

QER | Attestation | AutoRemovalScope |
AERoleMembership

Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Anwendungsrollen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope |
AERoleMembership |
RemoveDelegatedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Delegierung der Anwendungsrolle beendet.

QER | Attestation | AutoRemovalScope |
AERoleMembership |
RemoveDirectRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Mitgliedschaft der Identität in der Anwendungsrolle entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Anwendungsrolle erhalten hat!

QER | Attestation | AutoRemovalScope |
AERoleMembership |
RemoveRequestedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Bestellung der Mitgliedschaft in der Anwendungsrolle abgebrochen.

QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDynamicRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Identität aus der dynamischen Rolle der Anwendungsrolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Anwendungsrolle erhalten hat!

QER | Attestation | AutoRemovalScope | DepartmentHasESet

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Systemrollen an Abteilungen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope | DepartmentHasESet | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemrolle an die Abteilung entfernt.

QER | Attestation | AutoRemovalScope | DepartmentHasUNSGroup

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Systemberechtigungen an Abteilungen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope | DepartmentHasUNSGroup | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemberechtigung an die Abteilung entfernt.

QER | Attestation | AutoRemovalScope |
ESetAssignment

Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Systemrollen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope |
ESetAssignment |
RemoveDelegatedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Delegierung der Rolle beendet, über welche die Identität die Systemrolle erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat!

QER | Attestation | AutoRemovalScope |
ESetAssignment | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die direkte Mitgliedschaft in der Systemrolle entfernt.

Damit werden alle indirekten Zuweisungen, welche die Identität über die Systemrolle erhalten hat, entfernt!

QER | Attestation | AutoRemovalScope |
ESetAssignment | RemoveDirectRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die sekundäre Mitgliedschaft der Identität in der Rolle (Organisation oder Geschäftsrolle) entfernt, über welche die Identität die Systemrolle erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat!

QER | Attestation | AutoRemovalScope |
ESetAssignment | RemoveDynamicRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Identität aus der dynamischen Rolle ausgeschlossen, über welche die Identität die Systemrolle erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat!

QER | Attestation | AutoRemovalScope |
ESetAssignment |
RemovePrimaryRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuordnung der primären Rolle, über welche die Identität die Systemrolle erhalten hat, von der Identität entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat!

QER | Attestation | AutoRemovalScope |
ESetAssignment | RemoveRequested

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die bestellte Systemrolle abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über die Systemrolle erhalten hat!

QER | Attestation | AutoRemovalScope |
ESetAssignment |
RemoveRequestedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Bestellung der Rolle abgebrochen, über welche die Identität die Systemrolle erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat!

QER | Attestation | AutoRemovalScope | ESetHasEntitlement

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen an Systemrollen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope | ESetHasEntitlement | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Unternehmensressource an eine Systemrolle entfernt.

QER | Attestation | AutoRemovalScope | ESetHasEntitlement | RemoveRequested

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die bestellte Zuweisung der Unternehmensressource an eine Systemrolle abbestellt.

QER | Attestation | AutoRemovalScope |
GroupMembership

Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Unified Namespace Systemberechtigungen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope |
GroupMembership |
RemoveDelegatedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Delegierung der Rolle beendet, über welche die Identität die Systemberechtigung erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat!

QER | Attestation | AutoRemovalScope |
GroupMembership | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die direkte Mitgliedschaft des Benutzerkontos in der Systemberechtigung entfernt.

QER | Attestation | AutoRemovalScope |
GroupMembership |
RemoveDirectRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die sekundäre Mitgliedschaft der Identität in der Rolle (Organisation oder Geschäftsrolle) entfernt, über welche die Identität die Systemberechtigung erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat!

QER | Attestation | AutoRemovalScope |
GroupMembership |
RemoveDynamicRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Identität aus der dynamischen Rolle ausgeschlossen, über welche die Identität die Systemberechtigung erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat!

QER | Attestation | AutoRemovalScope |
GroupMembership |
RemovePrimaryRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuordnung der primären Rolle, über welche die Identität die Systemberechtigung erhalten hat, von der Identität entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat!

QER | Attestation | AutoRemovalScope |
GroupMembership |
RemoveRequested

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die bestellte Systemberechtigung abbestellt.

QER | Attestation | AutoRemovalScope |
GroupMembership |
RemoveRequestedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Bestellung der Rolle abgebrochen, über welche die Identität die Systemberechtigung erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat!

QER | Attestation | AutoRemovalScope |
GroupMembership |
RemoveSystemRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuordnung der Systemrolle, über welche die Identität die Systemberechtigung erhalten hat, von der Identität entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Systemrolle erhalten hat!

HINWEIS: Dieser Konfigurationsparameter ist nur verfügbar, wenn das Systemrollenmodul installiert ist.

QER | Attestation | AutoRemovalScope | LocalityHasESet

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Systemrollen an Standorte bei negativer Attestierung.

QER | Attestation | AutoRemovalScope | LocalityHasESet | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemrolle an den Standort entfernt.

QER | Attestation | AutoRemovalScope | LocalityHasUNSGroup

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Systemberechtigungen an Standorte bei negativer Attestierung.

QER | Attestation | AutoRemovalScope | LocalityHasUNSGroup | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemberechtigung an den Standort entfernt.

QER | Attestation | AutoRemovalScope | OrgHasESet

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Systemrollen an Geschäftsrollen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope | OrgHasESet | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemrolle an die Geschäftsrolle entfernt.

QER | Attestation | AutoRemovalScope | OrgHasUNSGroup

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Systemberechtigungen an Geschäftsrollen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope | OrgHasUNSGroup | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemberechtigung an die Geschäftsrolle entfernt.

QER | Attestation | AutoRemovalScope | ProfitCenterHasESet

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Systemrollen an Kostenstellen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope | ProfitCenterHasESet | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemrolle an die Kostenstelle entfernt.

QER | Attestation | AutoRemovalScope | ProfitCenterHasUNSGroup

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Systemberechtigungen an Kostenstellen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope | ProfitCenterHasUNSGroup | RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemberechtigung an die Kostenstelle entfernt.

QER | Attestation | AutoRemovalScope | PWOMethodName

Methode, die auf Bestellungen ausgeführt wird, wenn bei einer negativen Attestierung die bestellte Zuweisung entfernt werden soll.

Die Bestellungen können abbestellt (Wert Unsubscribe) oder abgebrochen (Wert Abort) werden. Wenn der Konfigurationsparameter deaktiviert ist, werden die Bestellungen standardmäßig abgebrochen.

QER | Attestation | AutoRemovalScope |
RoleMembership

Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Geschäftsrollen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope |
RoleMembership |
RemoveDelegatedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Delegierung der Geschäftsrolle beendet.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Geschäftsrolle erhalten hat!

QER | Attestation | AutoRemovalScope |
RoleMembership | RemoveDirectRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die sekundäre Mitgliedschaft der Identität in der Geschäftsrolle entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Geschäftsrolle erhalten hat!

QER | Attestation | AutoRemovalScope |
RoleMembership | RemoveDynamicRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Identität aus der dynamischen Rolle der Geschäftsrolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Geschäftsrolle erhalten hat!

QER | Attestation | AutoRemovalScope |
RoleMembership |
RemoveRequestedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Bestellung der Mitgliedschaft in der Geschäftsrolle abgebrochen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Geschäftsrolle erhalten hat!

QER | Attestation | AutoRemovalScope |
UNSGroupInUNSGroup

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Unified Namespace Systemberechtigungen an Systemberechtigungen bei negativer Attestierung.

QER | Attestation | AutoRemovalScope |
UNSGroupInUNSGroup |
RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemberechtigung an eine Systemberechtigung entfernt.

QER | Attestation |
DefaultSenderAddress

Standard E-Mail-Adresse des Absenders zum Versenden von automatisch generierte Benachrichtigungen über Attestierungsvorgänge. Ersetzen Sie den Standardwert durch eine gültige E-Mail-Adresse.

Syntax:

sender@example.com

Beispiel:

NoReply@company.com

Zusätzlich zur E-Mail-Adresse kann der Anzeigename des Absenders angegeben werden. Beachten Sie, dass die E-Mail-Adresse in diesem Fall durch spitze Klammern (<>) umschlossen wird.

Beispiel:

One Identity <NoReply@company.com>

QER | Attestation | DepartmentApproval

Unterhalb dieses Konfigurationsparameters wird die Zertifizierung von Abteilungen konfiguriert.

QER | Attestation | DepartmentApproval | InitialApprovalState

Zertifizierungsstatus für neue Abteilungen. Wenn eine Abteilung mit dem Status 1 (Neu) angelegt wird, wird eine Attestierung der Daten durch deren Manager ausgelöst.

QER | Attestation | LocalityApproval

Unterhalb dieses Konfigurationsparameters wird die Zertifizierung von Standorten konfiguriert.

QER | Attestation | LocalityApproval | InitialApprovalState

Zertifizierungsstatus für neue Standorte. Wenn ein Standort mit dem Status 1 (Neu) angelegt wird, wird eine Attestierung der Daten durch dessen Manager ausgelöst.

QER | Attestation | MailApproval |
Account

Name des Benutzerkontos zur Authentifizierung am Postfach, das für Entscheidungen per E-Mail genutzt wird.

QER | Attestation | MailApproval | AppID

Exchange Online Anwendungs-ID für die Authentifizierung über OAuth 2.0. Wenn der Wert nicht gesetzt ist, werden die Authentifizierungsmethoden Basic oder NTML verwendet.

QER | Attestation | MailApproval |
DeleteMode

Gibt die Art und Weise an, wie E-Mails im Posteingang gelöscht werden sollen.

QER | Attestation | MailApproval |
Domain

Domäne des Benutzerkontos zur Authentifizierung am Postfach, das für Entscheidungen per E-Mail genutzt wird.

QER | Attestation | MailApproval |
ExchangeURI

URL des Microsoft Exchange Webdienstes für den Zugriff auf das Postfach. Ist diese nicht angegeben, wird der AutoDiscover-Modus zur Erkennung der URL verwendet.

QER | Attestation | MailApproval |
Inbox

Microsoft Exchange Postfach, an das Entscheidungen per E-Mail gesendet werden.

QER | Attestation | MailApproval |
Password

Kennwort des Benutzerkontos zur Authentifizierung am Postfach, das für Entscheidungen per E-Mail genutzt wird.

QER | Attestation |
MailTemplateIdents |
AnswerToApprover

Mailvorlage, die genutzt wird, um eine Benachrichtigung mit der Antwort auf seine Frage an einen Entscheider zu versenden.

QER | Attestation |
MailTemplateIdents |
AttestationApproval

Mailvorlage, die für die Attestierung per E-Mail genutzt wird.

QER | Attestation |
MailTemplateIdents |
InformAddingPerson

Mailvorlage, die genutzt wird, um eine Benachrichtigungs-Mail an einen Entscheider zu versenden, dass sein zusätzlich eingefügter Schritt entschieden wurde.

QER | Attestation |
MailTemplateIdents |
InformDelegatingPerson

Mailvorlage, die genutzt wird, um eine Benachrichtigungs-Mail an einen Entscheider zu versenden, das sein delegierter Schritt entschieden wurde.

QER | Attestation |
MailTemplateIdents | NewExternalUserVerification

Mailvorlage, die genutzt wird, um eine Benachrichtigung mit einem Bestätigungslink an einen neuen externen Benutzer zu versenden.

QER | Attestation |
MailTemplateIdents |
QueryFromApprover

Mailvorlage, die genutzt wird, um eine Benachrichtigung mit der Frage eines Entscheiders an eine Identität zu versenden.

QER | Attestation |
MailTemplateIdents |
RequestApproverByCollection

Mailvorlage, die genutzt wird, um eine Benachrichtigung an einen Entscheider zu versenden, dass noch offene Attestierungen vorliegen. Wenn der Konfigurationsparameter nicht aktiviert ist, kann für einzelne Entscheidungsschritte eine Mailvorlage Aufforderung beziehungsweise Mailvorlage Erinnerung angegeben werden, welche für jeden einzelnen Attestierungsvorgang versendet wird. Wenn der Konfigurationsparameter aktiviert ist, werden keine Einzelbenachrichtigungen versendet.

QER | Attestation | NewExternalUserFinalTimeoutInHours

Dauer in Stunden, nach welcher die Registrierung von neuen externen Benutzern endgültig abgebrochen wird (Standard: 24).

QER | Attestation | NewExternalUserTimeoutInHours

Dauer in Stunden, für die der Zugangscode und der Bestätigungslink für neue externe Benutzer gültig sind (Standard: 4).

QER | Attestation | OnWorkflowAssign

Der Konfigurationsparameter gibt an, wie offene Attestierungsvorgänge behandelt werden, wenn an der Entscheidungsrichtlinie ein neuer Entscheidungsworkflow zugewiesen wird.

QER | Attestation | OnWorkflowUpdate

Der Konfigurationsparameter gibt an, wie offene Attestierungsvorgänge bei Änderungen am Entscheidungsworkflow behandelt werden.

QER | Attestation | OrgApproval

Unterhalb dieses Konfigurationsparameters wird die Zertifizierung von Geschäftsrollen konfiguriert.

QER | Attestation | OrgApproval | InitialApprovalState

Zertifizierungsstatus für neue Geschäftsrollen. Wenn eine Geschäftsrolle mit dem Status 1 (Neu) angelegt wird, wird eine Attestierung der Daten durch deren Manager ausgelöst.

QER | Attestation | PeerGroupAnalysis

Der Konfigurationsparameter ermöglicht die automatische Entscheidung von Attestierungsvorgängen per Peer-Gruppen-Analyse.

QER | Attestation | PeerGroupAnalysis | ApprovalThreshold

Der Konfigurationsparameter definiert einen Schwellwert zwischen 0 und 1 für die Peer-Gruppen-Analyse. Der Standardwert ist 0,9.

QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment

Der Konfigurationsparameter legt fest, ob Unternehmensbereiche bei der Peer-Gruppen-Analyse berücksichtigt werden sollen. Wenn der Parameter aktiviert ist, wird der Attestierungsvorgang nur genehmigt, wenn die Identität, die mit dem Attestierungsobjekt verbunden ist, und das Attestierungsobjekt zum selben Unternehmensbereich gehören.

QER | Attestation | PeerGroupAnalysis | IncludeManager

Der Konfigurationsparameter legt fest, ob Identitäten in die Peer-Gruppe aufgenommen werden, die denselben Manager haben, wie die Identität, die mit dem Attestierungsobjekt verbunden ist.

QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment

Der Konfigurationsparameter legt fest, ob Identitäten in die Peer-Gruppe aufgenommen werden, die primäres Mitglied der primären Abteilung der Identität sind, die mit dem Attestierungsobjekt verbunden ist.

QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment

Der Konfigurationsparameter legt fest, ob Identitäten in die Peer-Gruppe aufgenommen werden, die sekundäres Mitglied der primären oder sekundären Abteilung der Identität sind, die mit dem Attestierungsobjekt verbunden ist.

QER | Attestation |
PersonToAttestNoDecide

Der Konfigurationsparameter legt fest, ob Identitäten, die attestiert werden, diesen Attestierungsvorgang entscheiden dürfen. Ist der Parameter aktiviert, darf ein Attestierungsvorgang nicht von den Identitäten entschieden werden, die im Attestierungsobjekt (AttestationCase.ObjectKeyBase) oder in den Objektbeziehungen 1-3 (AttestationCase.UID_ObjectKey1, ObjectKey2 oder ObjectKey3) enthalten sind. Ist der Parameter nicht aktiviert, dürfen diese Identitäten über diesen Attestierungsvorgang entscheiden.

QER | Attestation | PrepareAttestationTimeout

Dauer in Stunden, nach welcher die Erzeugung neuer Attestierungsvorgänge endgültig abgebrochen wird (Standard: 48).

QER | Attestation | ProfitCenterApproval

Unterhalb dieses Konfigurationsparameters wird die Zertifizierung von Kostenstellen konfiguriert.

QER | Attestation | ProfitCenterApproval | InitialApprovalState

Zertifizierungsstatus für neue Kostenstellen. Wenn eine Kostenstelle mit dem Status 1 (Neu) angelegt wird, wird eine Attestierung der Daten durch deren Manager ausgelöst.

QER | Attestation | Recommendation

Unterhalb dieses Konfigurationsparameters werden Schwellwerte für Entscheidungsempfehlungen definiert.

QER | Attestation | Recommendation | ApprovalRateThreshold

Der Konfigurationsparameter gibt den Schwellwert für die Genehmigungsrate an. Die Genehmigungsrate bestimmt den Anteil an Genehmigungen für dieses Attestierungsobjekt in früheren Attestierungsläufen, die mit denselben Entscheidungsverfahren getroffen wurden. Je kleiner der Schwellwert ist, desto wahrscheinlicher wird eine Genehmigung empfohlen.

QER | Attestation | Recommendation | PeerGroupThreshold

Der Konfigurationsparameter gibt den Schwellwert für den Peer-Gruppen-Faktor an. Der Peer-Gruppen-Faktor bestimmt den Anteil der Identitäten in der Peer-Gruppe, welche die zu attestierende Systemberechtigung oder Mitgliedschaft bereits besitzen. Je kleiner der Schwellwert ist, desto wahrscheinlicher wird eine Genehmigung empfohlen.

QER | Attestation | Recommendation | RiskIndexThreshold

Der Konfigurationsparameter gibt den Schwellwert für den Risikoindex des Attestierungsobjekts an. Je größer der Schwellwert ist, desto wahrscheinlicher wird eine Genehmigung empfohlen.

QER | Attestation | Recommendation | UnusedDaysThreshold

Der Konfigurationsparameter gibt die Anzahl der Tage an, nach denen ein Benutzerkonto oder eine Systemberechtigung als ungenutzt betrachtet wird. Wird ein Benutzerkonto oder eine Systemberechtigung eine längere Zeit nicht genutzt, so wird empfohlen, die Attestierung abzulehnen.

QER | Attestation | ReuseDecision

Der Konfigurationsparameter gibt an, ob eine positive Entscheidung eines Attestierers für alle durch ihn entscheidbaren Schritte im Verlauf eines Genehmigungsverfahrens übernommen werden sollen. Ist der Parameter aktiviert und wird im Genehmigungsverfahren ein Entscheidungsschritt erreicht, in dem wieder eine Identität entscheidungsberechtigt ist, die bereits in einem früheren Schritt zugestimmt hat, so wird der aktuelle Schritt ebenfalls genehmigt. Ist der Parameter nicht aktiviert, muss der Attestierer jeden Schritt, für den er entscheidungsberechtigt ist, separat entscheiden.

QER | Attestation |
ReducedApproverCalculation

Der Konfigurationsparameter legt fest, welche Entscheidungsschritte neu berechnet werden sollen, wenn durch Änderungen von Verantwortlichkeiten die Attestierer neu ermittelt werden müssen.

QER | Attestation | UserApproval

Attestierungsverfahren zur regelmäßigen Überprüfung und Bestätigung von One Identity Manager Benutzern durch deren Manager werden unterstützt.

QER | Attestation | UserApproval |
InitialApprovalState

Zertifizierungsstatus für neue Identitäten. Wird eine Identität mit dem Zertifizierungsstatus 1=Neu angelegt, wird eine Attestierung der Daten durch den Manager der Identität ausgelöst.

QER | Attestation | UseWorkingHoursDefinition

Gibt an, ob bei der Berechnung der Fälligkeit von Attestierungsvorgängen die Arbeitstage entsprechend der Definition im Konfigurationsparameter QBM | WorkingHours berücksichtigt werden sollen.

QER | CalculateRiskIndex

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Berechnung des Risikoindex. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.

Ist der Parameter aktiviert, können Werte für den Risikoindex erfasst und berechnet werden.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

QER | Person | Starling

Gibt an, ob die Verbindung zur Cloud-Plattform One Identity Starling unterstützt wird.

Starten Sie Ihr Abonnement in Ihrem One Identity On-Prem-Produkt und verbinden Sie Ihre On-Prem-Lösungen mit unserer Cloud-Plattform One Identity Starling. Ermöglichen Sie Ihrem Unternehmen den sofortigen Zugriff auf eine Reihe von in der Cloud bereitgestellten Microservices, die die Funktionen Ihrer On-Prem-Lösungen von One Identity erweitern. Wir werden One Identity Starling ständig neue Produkte und Funktionen zur Verfügung stellen. Eine kostenlose Testversion unserer One Identity Starling-Angebote sowie die neuesten Produktfeatures erhalten Sie unter cloud.oneidentity.com.

QER | Person | Starling | ApiEndpoint

Tokenendpunkt für die Anmeldung an One Identity Starling. Der Wert wird durch den Starling Konfigurationsassistenten ermittelt.

QER | Person | Starling | ApiKey

Credential String für die Anmeldung an One Identity Starling. Der Wert wird durch den Starling Konfigurationsassistenten ermittelt.

QER | Person | Starling | UseApprovalAnywhere

Der Konfigurationsparameter definiert, ob Bestellungen und Attestierungsvorgängen über adaptive Karten entschieden werden können.

QER | Person | Starling | UseApprovalAnywhere | SecondsToExpire

Der Konfigurationsparameter gibt die Ablaufzeit in Sekunden an, nach der eine adaptive Karte beantwortet sein muss.

QER | WebPortal | BaseURL

URL zum API Server. Diese Adresse wird in Mailvorlagen genutzt, um Hyperlinks auf das Web Portal einzufügen.

QER | WebPortal | PasswordResetURL

URL zum Kennwortrücksetzungsportal. Diese Adresse wird zur Navigation genutzt.

Common | MailNotification |
DefaultCulture

Standardsprache, in der E-Mail-Benachrichtigungen versendet werden, wenn für einen Empfänger keine Sprache ermittelt werden kann.

Common | MailNotification | Signature

Angaben zur Signatur in automatisch aus Mailvorlagen generierten E-Mails.

Common | MailNotification | Signature | Caption

Unterschrift unter die Grußformel.

Common | MailNotification | Signature | Company

Name des Unternehmens.

Common | MailNotification | Signature | Link

Link auf die Unternehmenswebseite.

Common | MailNotification | Signature | LinkDisplay

Anzeigetext für den Link zur Unternehmenswebseite.

Common | MailNotification |
SMTPAccount

Name des Benutzerkontos zur Authentifizierung am SMTP Server.

Common | MailNotification |
SMTPDomain

Domäne des Benutzerkontos zur Authentifizierung am SMTP Server.

Common | MailNotification |
SMTPPassword

Kennwort des Benutzerkontos zur Authentifizierung am SMTP Server.

Common | MailNotification |
SMTPPort

Port des SMTP-Dienstes auf dem SMTP Server. Standard: 25

Common | MailNotification |
SMTPRelay

SMTP-Server, der zum Versenden von E-Mail-Benachrichtigungen genutzt wird. Ist kein Server angegeben, wird localhost verwendet.

Common | MailNotification |
SMTPUseDefaultCredentials

Gibt an, welche Anmeldeinformationen für die Authentifizierung am SMTP Server verwendet werden.

Ist der Konfigurationsparameter aktiviert, werden zur Authentifizierung am SMTP Server die Anmeldeinformationen des One Identity Manager Service verwendet.

Ist der Konfigurationsparameter nicht aktiviert, werden die in den Konfigurationsparametern Common | MailNotification | SMTPDomain und Common | MailNotification | SMTPAccount oder Common | MailNotification | SMTPPassword hinterlegten Anmeldeinformationen verwendet. (Standard)

Common | ProcessState | PropertyLog

Bei Aktivierung des Konfigurationsparameters werden Änderungen einzelner Werte aufgezeichnet und in der Prozessansicht angezeigt. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

QBM | WorkingHours | IgnoreHoliday

Der Konfigurationsparameter gibt an, ob Feiertage bei der Berechnung der Arbeitsstunden berücksichtigt werden. Wenn der Konfigurationsparameter aktiviert ist, werden Feiertage nicht berücksichtigt.

QBM | WorkingHours | IgnoreWeekend

Der Konfigurationsparameter gibt an, ob Wochenenden bei der Berechnung der Arbeitsstunden berücksichtigt werden. Wenn der Konfigurationsparameter aktiviert ist, werden Wochenenden nicht berücksichtigt.

ISM

Allgemeiner Konfigurationsparameter für das Servicemodul Systemsynchronisation.

ISM | PrimaryDB

Informationen zur Zentraldatenbank, die sich innerhalb der Unternehmensinfrastruktur befindet.

ISM | PrimaryDB | AppServer

Verbindungsparameter für den Anwendungsserver der Zentraldatenbank.

ISM | PrimaryDB | AppServer | AuthenticationString

Authentifizierungsdaten zum Aufbau einer Verbindung über die REST API des Anwendungsservers der Zentraldatenbank.

Syntax: Module=<Authentication module>;<Property1>=<Value1>;<Property2>=<Value2>,…

Erlaubt sind alle Authentifizierungsmodule, die der angesprochene Anwendungsserver zur Verfügung stellt. Ausführliche Informationen zu den Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

ISM | PrimaryDB | AppServer | ConnectionString

Verbindungsparameter für den Aufbau der Verbindung über die REST API des Anwendungsservers der Zentraldatenbank.

Syntax: Url=<URL des Anwendungsservers>[;ClientId=<Client-ID>;ClientSecret=<Secret>;TokenEndpoint=<Tokenendpunkt>]

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen