Im Verlauf der Attestierung kann es notwendig sein, einen anderen als den standardmäßig verantwortlichen Attestierer mit der Attestierung zu beauftragen, beispielsweise weil ein verantwortlicher Attestierer abwesend ist. Möglicherweise werden zusätzliche Informationen über ein Attestierungsobjekt benötigt. Der One Identity Manager bietet verschiedene Möglichkeiten in einen offenen Attestierungsvorgang einzugreifen.
Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung
Basisdaten für Attestierungen
Attestierungstypen
Attestierungsverfahren
Genehmigungsverfahren für Attestierungsvorgänge
Allgemeine Stammdaten eines Attestierungsverfahrens
Vorlagen für Attestierungsverfahren
Informationen über Attestierungsobjekte bereitstellen
Standard-Attestierungsverfahren
Zusätzliche Aufgaben für Attestierungsverfahren
Zeitpläne für Attestierungen
Standardzeitpläne
Attestierungsrichtlinien zuweisen
Richtlinienverbunde zuweisen
Überblick zum Zeitplan
Zeitplan sofort ausführen
Compliance Frameworks
Zentrale Entscheidergruppe
Eigentümer von Attestierungsrichtlinien
Standardbegründungen für Attestierungen
Attestierungsrichtlinien
Allgemeine Stammdaten von Attestierungsrichtlinien
Risikoindex für Attestierungsrichtlinien festlegen
Standard-Attestierungsrichtlinien
Zusätzliche Aufgaben für Attestierungsrichtlinien
Stichprobenattestierung
Überblick über die Attestierungsrichtlinie
Entscheider an Attestierungsrichtlinien zuweisen
Compliance Framework an Attestierungsrichtlinien zuweisen
Risikomindernde Maßnahmen
Attestierung für einzelne Objekte starten
Bedingungen anzeigen oder ausblenden
Attestierungsrichtlinien kopieren
Zeige ausgewählte Objekte
Attestierungsrichtlinien löschen
Attestierungsrichtlinien deaktivieren
Stichproben erstellen, bearbeiten, löschen
Allgemeine Stammdaten von Stichproben
Stichprobendaten verwalten
Stichprobendaten automatisch erzeugen
Stichproben mit Attestierungsrichtlinien verwenden
Überblick über Stichproben anzeigen
Standardstichprobe für die Attestierung von Mitgliedschaften in Systemberechtigungen
Standardstichprobe für die Attestierung von Identitäten
Gruppierung von Attestierungsrichtlinien
Richtlinienverbunde erstellen und bearbeiten
Allgemeine Stammdaten von Richtlinienverbunden
Richtlinienverbunde zu Attestierungsrichtlinien zuordnen
Richtlinienverbunde deaktivieren
Richtlinienverbunde löschen
Standard-Richtlinienverbunde
Unternehmensspezifische Mailvorlagen für Benachrichtigungen
Mailvorlagen für Attestierungen erstellen und ändern
Allgemeine Eigenschaften einer Mailvorlage
Erstellen und Bearbeiten einer Maildefinition
Attestierungen aussetzen
Automatische Attestierung von Richtlinienverletzungen
Eigenschaften des Basisobjekts verwenden
Verwenden von Hyperlinks zum Web Portal
Anpassen der E-Mail Signatur
Mailvorlagen für Attestierungen kopieren
Vorschau von Mailvorlagen für Attestierungen anzeigen
Mailvorlagen für Attestierungen löschen
Unternehmensspezifische Prozesse für Benachrichtigungen
Entscheidungsrichtlinien für Attestierungen
Ablauf einer Attestierung
Allgemeine Stammdaten von Entscheidungsrichtlinien
Standard-Entscheidungsrichtlinien für Attestierung
Zusätzliche Aufgaben für Entscheidungsrichtlinien
Entscheidungsworkflows für Attestierungen
Arbeiten mit dem Workfloweditor
Entscheidungsworkflows einrichten
Auswahl der verantwortlichen Attestierer
Entscheidungsebenen bearbeiten
Entscheidungsschritte bearbeiten
Eigenschaften eines Entscheidungsschritts
Entscheidungsebenen verbinden
Zusätzliche Aufgaben für Entscheidungsworkflows
Entscheidungsworkflow löschen
Standard-Entscheidungsworkflows
Standard-Entscheidungsverfahren
Einrichten der Multifaktor-Authentifizierung für Attestierungen
Attestierung durch die zu attestierende Identität verhindern
Entscheidung von Attestierern automatisch übernehmen
Phasen der Attestierung
Attestierer über die Attestierungsrichtlinie ermitteln
Attestierer über die Rolle der zu attestierenden Identität ermitteln
Attestierer über Attestierungsobjekte ermitteln
Attestierer über die Leistungsposition der Attestierungsobjekte ermitteln
Manager der Attestierungsobjekte als Attestierer ermitteln
Verantwortliche der Attestierungsobjekte als Attestierer ermitteln
Attestierer über eine festgelegte Rolle ermitteln
Produkteigner als Attestierer ermitteln
Eigentümer eines privilegierten Objektes als Attestierer ermitteln
Zusätzlicher Besitzer einer Active Directory Gruppe als Attestierer ermitteln
Eigentümer der Attestierungsobjekte als Attestierer ermitteln
An ein Benutzerkonto zugeordnete Identität als Attestierer ermitteln
Attestierte Identität als Attestierer ermitteln
Eigentümer der Attestierungsrichtlinie ermitteln
Errechnete Entscheidung
Extern vorzunehmende Entscheidung
Warten auf andere Entscheidung
Entscheidungsverfahren einrichten
Zusätzliche Aufgaben für Entscheidungsverfahren
Überblick über das Entscheidungsverfahren
Zulässige Entscheidungsverfahren für Tabellen festlegen
Entscheidungsverfahren kopieren
Entscheidungsverfahren löschen
Ermitteln der verantwortlichen Attestierer
Bereitstellungsphase einrichten
Prüfkriterien für die Bereitstellungsphase
Anfechtungsphase einrichten
Entzug von Berechtigungen einrichten
Attestierungen durch Peer-Gruppen-Analyse
Entscheidungsempfehlungen für Attestierungen
Kriterien für Entscheidungsempfehlungen für Attestierungen
Entscheidungsempfehlungen für Attestierungen konfigurieren
Attestierungsvorgang steuern
Weitere Informationen einholen
Andere Attestierer beauftragen
Eskalieren eines Attestierungsvorgangs
Attestierer können nicht ermittelt werden
Automatische Entscheidung bei Zeitüberschreitung
Abbruch eines Attestierungsvorgangs bei Zeitüberschreitung
Attestierungen durch die zentrale Entscheidergruppe
Attestierung starten
Überblick über Attestierungsvorgänge
Entscheidungsverlauf
Attestierungshistorie
Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen
Attestierungsvorgänge für deaktivierte Identitäten schließen
Attestierungsvorgänge löschen
Benachrichtigungen im Attestierungsvorgang
Standardattestierungen
Aufforderung zur Attestierung
Erinnerung der Attestierer
Zeitgesteuerte Aufforderung zur Attestierung
Erinnerung der Attestierer von Attestierungsobjekten
Genehmigung oder Ablehnung von Attestierungsvorgängen
Benachrichtigung der Delegierenden
Abbruch von Attestierungsvorgängen
Eskalation von Attestierungsvorgängen
Delegierung von Attestierungen
Zurückweisen von Entscheidungen
Benachrichtigungen bei Anfragen
Benachrichtigungen von zusätzlichen Attestierern
Bestätigungslink für neue externe Benutzer
Standard-Mailvorlagen
Attestierung per E-Mail
Attestierung über adaptive Karten
Adaptive Karten für Attestierungen nutzen
Empfänger und Kanäle hinzufügen und löschen
Adaptive Karten für Attestierungen erstellen, bearbeiten und löschen
Vorlagen für adaptive Karten für Attestierungen erstellen, bearbeiten und löschen
Allgemeine Stammdaten für adaptive Karten
Bereitstellen und Auswerten adaptiver Karten für Attestierungen
Adaptive Karten deaktivieren
Attestierungsvorgänge im Manager entscheiden
Attestierungsvorgänge eines Attestierers anzeigen
Informationen über Attestierungsobjekte anzeigen
Zusatzeigenschaften an Attestierungsvorgänge zuweisen
Unvollständige Attestierungsläufe anzeigen
Unvollständige Attestierungsläufe abbrechen
Abgebrochene Attestierungsläufe anzeigen
Berichte über Attestierungen
Entzug von Berechtigungen konfigurieren
Risikomindernde Maßnahmen
Attestierung von Systemberechtigungen
Attestierung von Systemrollen
Attestierung von Anwendungsrollen
Attestierung von Geschäftsrollen
Stichprobenattestierung von Identitäten und ihren Berechtigungen konfigurieren
Attestierung und Rezertifizierung von Benutzern
One Identity Manager Benutzer für die Attestierung und Rezertifizierung von Benutzern
Attestierung und Rezertifizierung von Benutzern konfigurieren
Attestierung neuer Benutzer
Zertifizierung neuer Rollen und Organisationen
Selbstregistrierung neuer Benutzer im Web Portal
Anlegen neuer Identitäten durch einen Manager oder Administrator von Identitäten
Importieren neuer Identitätenstammdaten
Zeitgesteuerte Attestierungen
Einschränken der Attestierungsobjekte für die Zertifizierung
Rezertifizierung vorhandener Benutzer
One Identity Manager Benutzer für die Zertifizierung von Rollen und Organisationen
Zertifizierung neuer Abteilungen konfigurieren
Zertifizierung neuer Kostenstellen konfigurieren
Zertifizierung neuer Standorte konfigurieren
Zertifizierung neuer Geschäftsrollen konfigurieren
Zertifizierung neuer Anwendungsrollen konfigurieren
Allgemeine Stammdaten von risikomindernden Maßnahmen
Zusätzliche Aufgaben für risikomindernde Maßnahmen
Risikominderung berechnen
Attestierung in einer separaten Datenbank einrichten
Voraussetzungen für die Zentraldatenbank
Arbeitsdatenbank einrichten
Synchronisation zwischen Zentral- und Arbeitsdatenbank einrichten
Attestierungen in der Arbeitsdatenbank einrichten und durchführen
Konfigurationsparameter für die Attestierung
Attestierungsvorgang steuern
Weitere Informationen einholen
Der Attestierer kann eine Anfrage an jede beliebige Identität stellen. Der Attestierungsvorgang erhält für den Zeitpunkt der Anfrage einen Hold-Status. Sobald die angefragte Identität die benötigten Informationen geliefert hat und der Attestierer den Entscheidungsschritt entschieden hat, wird der Hold-Status wieder aufgehoben. Der Attestierer kann eine offene Anfrage jederzeit zurückrufen. Der Hold-Status wird dadurch aufgehoben. Die Anfrage und die Antwort werden im Entscheidungsverlauf aufgezeichnet und stehen somit den Attestierern zur Verfügung.
HINWEIS: Wenn der Attestierer, der eine Anfrage gestellt hat, als Entscheider entfällt, wird der Hold-Status aufgehoben. Die angefragte Identität muss nicht mehr antworten. Der Attestierungsvorgang wird fortgesetzt.
Über offene Anfragen können E-Mail Benachrichtigungen an die beteiligten Identitäten versendet werden.
Ausführliche Informationen über Anfragen finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.
Detaillierte Informationen zum Thema
- E-Mail-Benachrichtigung: Benachrichtigungen bei Anfragen
Andere Attestierer beauftragen
-
Entscheidung umleiten
-
Zusätzlichen Attestierer beauftragen
Der zusätzliche Attestierer kann die Entscheidung verweigern und den Attestierungsvorgang an den ursprünglichen Attestierer zurückgeben. Der ursprüngliche Attestierer wird darüber per E-Mail informiert. Der ursprüngliche Attestierer kann einen anderen zusätzlichen Attestierer beauftragen.
-
Entscheidung delegieren
Der Attestierer beauftragt eine andere Identität mit der Attestierung. Diese Identität wird als Attestierer in den aktuellen Entscheidungsschritt aufgenommen. Sie entscheidet anstelle des delegierenden Attestierers. Aktivieren Sie dafür am Entscheidungsschritt die Option Entscheidung delegierbar.
Der aktuelle Attestierer kann die Entscheidung verweigern und den Attestierungsvorgang an den ursprünglichen Attestierer zurückgeben. Der ursprüngliche Attestierer kann eine Delegierung zurücknehmen und an eine andere Identität delegieren, beispielsweise wenn der andere Attestierer nicht verfügbar ist.
Es können E-Mail Benachrichtigungen an die anderen und die ursprünglichen Attestierer versendet werden.
Detaillierte Informationen zum Thema
- Entscheidungsebenen verbinden
- Entscheidungsebenen bearbeiten
- Eigenschaften eines Entscheidungsschritts
Verwandte Themen
-
E-Mail-Benachrichtigung: Delegierung von Attestierungen
-
E-Mail-Benachrichtigung: Zurückweisen von Entscheidungen
-
E-Mail-Benachrichtigung: Benachrichtigungen von zusätzlichen Attestierern
-
E-Mail-Benachrichtigung: Zeitgesteuerte Aufforderung zur Attestierung
Eskalieren eines Attestierungsvorgangs
Entscheidungsschritte können bei Überschreitung eines festgelegten Zeitraumes automatisch eskaliert werden.
Um die Eskalation eines Entscheidungsschrittes zu konfigurieren
-
Öffnen Sie den Entscheidungsworkflow im Workfloweditor.
-
Fügen Sie eine zusätzliche Entscheidungsebene mit einem Entscheidungsschritt zur Eskalation ein.
-
Verbinden Sie den Entscheidungsschritt, der bei Zeitüberschreitung eskaliert werden soll, mit dem neuen Entscheidungsschritt. Nutzen Sie dazu den Verbindungspunkt für Eskalation.
Abbildung 3: Beispiel für einen Entscheidungsworkflow mit Eskalation
-
Konfigurieren Sie am Entscheidungsschritt, der bei Zeitüberschreitung eskaliert werden soll, das Verhalten.
Tabelle 32: Eigenschaften für die Eskalation bei Zeitüberschreitung Eigenschaft Bedeutung Timeout (Minuten) Anzahl der Minuten, nach deren Ablauf der Entscheidungsschritt automatisch entschieden wird. Die Angabe wird in Arbeitsstunden umgerechnet und zusätzlich angezeigt.
Das Timeout wird standardmäßig alle 30 Minuten geprüft. Um das Prüfintervall zu ändern, passen Sie den Zeitplan Erinnerungsintervall und Timeout von Attestierungsvorgängen prüfen an.
Für die Zeitberechnung wird die gültige Arbeitszeit des jeweiligen Entscheiders berücksichtigt.
HINWEIS: Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Identitäten ein Bundesland und/oder ein Bundesstaat eingetragen ist. Wenn diese Informationen fehlen, wird ein Fallback zur Berechnung der Arbeitszeit genutzt. Ausführliche Informationen zur Ermittlung der Arbeitszeit von Identitäten finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
TIPP: Wochenenden und Feiertage werden bei der Berechnung der Arbeitszeiten standardmäßig berücksichtigt. Wenn Wochenenden oder Feiertage wie Arbeitstage behandelt werden sollen, aktivieren Sie die Konfigurationsparameter QBM | WorkingHours | IgnoreHoliday oder QBM | WorkingHours | IgnoreWeekend. Ausführliche Informationen dazu finden Sie im One Identity Manager Konfigurationshandbuch.
Wurden mehrere Entscheider ermittelt, dann wird der Entscheidungsschritt erst dann automatisch entschieden, wenn der Timeout für alle Entscheider überschritten ist. Gleiches gilt, wenn ein zusätzlicher Entscheider beauftragt wurde.
Hat ein Entscheider die Entscheidung delegiert, wird der Zeitpunkt für die automatische Entscheidung für den neuen Entscheider neu berechnet. Wenn dieser die Entscheidung zurückweist, wird der Zeitpunkt für die automatische Entscheidung für den ursprünglichen Entscheider neu berechnet.
Wenn ein Entscheider eine Anfrage stellt, muss die Entscheidung trotzdem innerhalb des definierten Timeouts getroffen werden. Der Zeitpunkt für die automatische Entscheidung wird nicht neu berechnet.
Wenn durch eine Neuberechnung der verantwortlichen Entscheider zusätzliche Entscheider ermittelt werden, dann wird der Zeitpunkt für die automatische Entscheidung dadurch nicht verlängert. Die zusätzlichen Entscheider müssen innerhalb des Zeitraums entscheiden, der für die bisherigen Entscheider gültig ist.
Verhalten bei Timeout Aktion, die im Falle einer Zeitüberschreitung ausgeführt wird.
-
Eskalation: Der Attestierungsvorgang wird eskaliert. Es wird die Entscheidungsebene zur Eskalation aufgerufen.
-
-
(Optional) Wenn der Entscheidungsschritt auch dann eskaliert werden soll, wenn kein Attestierer ermittelt werden kann und kein Fallback-Entscheider zugeordnet ist, dann aktivieren Sie am Entscheidungsschritt zusätzlich die Option Eskalieren, wenn kein Entscheider ermittelbar ist.
Der Attestierungsvorgang wird in diesem Fall weder abgebrochen noch an die zentrale Entscheidergruppe übergeben, sondern eskaliert.
Bei einer Eskalation können E-Mail-Benachrichtigungen an die neuen Attestierer und weitere Identitäten versendet werden.
Verwandte Themen
- E-Mail-Benachrichtigung: Aufforderung zur Attestierung
- E-Mail-Benachrichtigung: Eskalation von Attestierungsvorgängen