Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Attestierer können nicht ermittelt werden

Für den Fall, dass Attestierungsvorgänge nicht entschieden werden können, weil kein Attestierer verfügbar ist, können Sie Fallback-Entscheider festlegen. Ein Attestierungsvorgang wird immer dann an die Fallback-Entscheider zur Attestierung zugewiesen, wenn in einem Entscheidungsschritt über das festgelegte Entscheidungsverfahren kein Attestierer ermittelt werden kann.

Um Fallback-Entscheider festzulegen, definieren Sie Anwendungsrollen und weisen diese den Entscheidungsschritten zu. Unterschiedliche Attestiererkreise in den Entscheidungsschritten erfordern gegebenenfalls auch unterschiedliche Fallback-Entscheider. Legen Sie dafür verschiedene Anwendungsrollen an, denen Sie die Identitäten zuweisen, die als Fallback-Entscheider in den Genehmigungsverfahren ermittelt werden sollen. Ausführliche Informationen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Um Fallback-Entscheider für einen Entscheidungsschritt festzulegen

  • Erfassen Sie am Entscheidungsschritt die folgenden Daten.

    Tabelle 33: Eigenschaften des Entscheidungsschritts für Fallback-Entscheider
    Eigenschaft Bedeutung

    Fallback-Entscheider

    Anwendungsrolle, deren Mitglieder berechtigt sind, die Attestierungsvorgänge zu entscheiden, wenn durch das Entscheidungsverfahren kein Attestierer ermittelt werden kann. Weisen Sie eine Anwendungsrolle aus der Auswahlliste zu.

    Um eine neue Anwendungsrolle zu erstellen, klicken Sie . Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle zu. Ausführliche Informationen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

    HINWEIS: Die Anzahl der Entscheider wird nicht auf die Fallback-Entscheider angewendet. Der Entscheidungsschritt gilt als entschieden, sobald 1 Fallback-Entscheider entschieden hat.

Ablauf einer Attestierung mit Fallback-Entscheider

  1. In einem Genehmigungsverfahren kann für einen Entscheidungsschritt kein Attestierer ermittelt werden. Der Attestierungsvorgang wird allen Mitgliedern der Anwendungsrolle für Fallback-Entscheider zugewiesen.

  2. Sobald ein Fallback-Entscheider den Attestierungsvorgang genehmigt hat, wird der Attestierungsvorgang den Attestierern der nächsten Entscheidungsebene vorgelegt.

    HINWEIS: Am Entscheidungsschritt kann festgelegt werden, wie viele Attestierer diesen Entscheidungsschritt entscheiden müssen. Diese Beschränkung gilt nicht für die Fallback-Entscheider. Der Entscheidungsschritt gilt als entschieden, sobald ein Fallback-Entscheider die Attestierung entschieden hat.

  3. Wenn kein Fallback-Entscheider ermittelt werden kann, wird der Attestierungsvorgang abgebrochen.

Fallback-Entscheider können Attestierungsvorgänge für alle manuellen Entscheidungsschritte entscheiden. Für Entscheidungsschritte mit den Entscheidungsverfahren CD, EX und WC sind keine Fallback-Entscheidungen möglich.

Verwandte Themen

Automatische Entscheidung bei Zeitüberschreitung

Attestierungsvorgänge können bei Überschreitung eines festgelegten Zeitraumes automatisch entschieden werden.

Um die automatische Entscheidung nach Zeitüberschreitung zu konfigurieren

  • Erfassen Sie am Entscheidungsschritt die folgenden Daten.

    • Timeout (Minuten):

      Anzahl der Minuten, nach deren Ablauf der Entscheidungsschritt automatisch entschieden wird. Die Angabe wird in Arbeitsstunden umgerechnet und zusätzlich angezeigt.

      Das Timeout wird standardmäßig alle 30 Minuten geprüft. Um das Prüfintervall zu ändern, passen Sie den Zeitplan Erinnerungsintervall und Timeout von Attestierungsvorgängen prüfen an.

      Für die Zeitberechnung wird die gültige Arbeitszeit des jeweiligen Entscheiders berücksichtigt.

      HINWEIS: Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Identitäten ein Bundesland und/oder ein Bundesstaat eingetragen ist. Wenn diese Informationen fehlen, wird ein Fallback zur Berechnung der Arbeitszeit genutzt. Ausführliche Informationen zur Ermittlung der Arbeitszeit von Identitäten finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

      TIPP: Wochenenden und Feiertage werden bei der Berechnung der Arbeitszeiten standardmäßig berücksichtigt. Wenn Wochenenden oder Feiertage wie Arbeitstage behandelt werden sollen, aktivieren Sie die Konfigurationsparameter QBM | WorkingHours | IgnoreHoliday oder QBM | WorkingHours | IgnoreWeekend. Ausführliche Informationen dazu finden Sie im One Identity Manager Konfigurationshandbuch.

      Wurden mehrere Entscheider ermittelt, dann wird der Entscheidungsschritt erst dann automatisch entschieden, wenn der Timeout für alle Entscheider überschritten ist. Gleiches gilt, wenn ein zusätzlicher Entscheider beauftragt wurde.

      Hat ein Entscheider die Entscheidung delegiert, wird der Zeitpunkt für die automatische Entscheidung für den neuen Entscheider neu berechnet. Wenn dieser die Entscheidung zurückweist, wird der Zeitpunkt für die automatische Entscheidung für den ursprünglichen Entscheider neu berechnet.

      Wenn ein Entscheider eine Anfrage stellt, muss die Entscheidung trotzdem innerhalb des definierten Timeouts getroffen werden. Der Zeitpunkt für die automatische Entscheidung wird nicht neu berechnet.

      Wenn durch eine Neuberechnung der verantwortlichen Entscheider zusätzliche Entscheider ermittelt werden, dann wird der Zeitpunkt für die automatische Entscheidung dadurch nicht verlängert. Die zusätzlichen Entscheider müssen innerhalb des Zeitraums entscheiden, der für die bisherigen Entscheider gültig ist.

    • Verhalten bei Timeout:

      Aktion, die im Falle einer Zeitüberschreitung ausgeführt wird.

      • Genehmigung: Der Attestierungsvorgang wird in diesem Entscheidungsschritt genehmigt. Es wird die nächste Entscheidungsebene aufgerufen.

      • Ablehnung: Der Attestierungsvorgang wird in diesem Entscheidungsschritt abgelehnt. Es wird die Entscheidungsebene für Ablehnung aufgerufen.

Bei der automatischen Entscheidung eines Attestierungsvorgangs kann eine E-Mail Benachrichtigung an weitere Identitäten versendet werden.

Verwandte Themen

Abbruch eines Attestierungsvorgangs bei Zeitüberschreitung

Attestierungsvorgänge können bei Überschreitung eines festgelegten Zeitraumes automatisch abgebrochen werden. Der Abbruch kann erfolgen, wenn ein einzelner Entscheidungsschritt oder das gesamte Genehmigungsverfahren einen bestimmten Zeitraum überschreitet.

Um den Abbruch nach Zeitüberschreitung eines einzelnen Entscheidungsschrittes zu konfigurieren

  • Erfassen Sie am Entscheidungsschritt die folgenden Daten.

    • Timeout (Minuten):

      Anzahl der Minuten, nach deren Ablauf der Entscheidungsschritt automatisch entschieden wird. Die Angabe wird in Arbeitsstunden umgerechnet und zusätzlich angezeigt.

      Das Timeout wird standardmäßig alle 30 Minuten geprüft. Um das Prüfintervall zu ändern, passen Sie den Zeitplan Erinnerungsintervall und Timeout von Attestierungsvorgängen prüfen an.

      Für die Zeitberechnung wird die gültige Arbeitszeit des jeweiligen Entscheiders berücksichtigt.

      HINWEIS: Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Identitäten ein Bundesland und/oder ein Bundesstaat eingetragen ist. Wenn diese Informationen fehlen, wird ein Fallback zur Berechnung der Arbeitszeit genutzt. Ausführliche Informationen zur Ermittlung der Arbeitszeit von Identitäten finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

      TIPP: Wochenenden und Feiertage werden bei der Berechnung der Arbeitszeiten standardmäßig berücksichtigt. Wenn Wochenenden oder Feiertage wie Arbeitstage behandelt werden sollen, aktivieren Sie die Konfigurationsparameter QBM | WorkingHours | IgnoreHoliday oder QBM | WorkingHours | IgnoreWeekend. Ausführliche Informationen dazu finden Sie im One Identity Manager Konfigurationshandbuch.

      Wurden mehrere Entscheider ermittelt, dann wird der Entscheidungsschritt erst dann automatisch entschieden, wenn der Timeout für alle Entscheider überschritten ist. Gleiches gilt, wenn ein zusätzlicher Entscheider beauftragt wurde.

      Hat ein Entscheider die Entscheidung delegiert, wird der Zeitpunkt für die automatische Entscheidung für den neuen Entscheider neu berechnet. Wenn dieser die Entscheidung zurückweist, wird der Zeitpunkt für die automatische Entscheidung für den ursprünglichen Entscheider neu berechnet.

      Wenn ein Entscheider eine Anfrage stellt, muss die Entscheidung trotzdem innerhalb des definierten Timeouts getroffen werden. Der Zeitpunkt für die automatische Entscheidung wird nicht neu berechnet.

      Wenn durch eine Neuberechnung der verantwortlichen Entscheider zusätzliche Entscheider ermittelt werden, dann wird der Zeitpunkt für die automatische Entscheidung dadurch nicht verlängert. Die zusätzlichen Entscheider müssen innerhalb des Zeitraums entscheiden, der für die bisherigen Entscheider gültig ist.

    • Verhalten bei Timeout:

      Aktion, die im Falle einer Zeitüberschreitung ausgeführt wird.

      • Abbruch: Der Entscheidungsschritt, und somit das gesamte Attestierungsverfahren, wird abgebrochen.

Um den Abbruch nach Zeitüberschreitung des gesamten Genehmigungsverfahrens zu konfigurieren

  • Erfassen Sie am Entscheidungsworkflow die folgenden Daten.

    • Systemabbruch (Tage):

      Anzahl der Tage, nach deren Ablauf der Entscheidungsworkflow, und somit das gesamte Attestierungsverfahren, automatisch durch das System beendet wird.

Bei Abbruch eines Attestierungsvorgangs kann eine E-Mail Benachrichtigung an weitere Identitäten versendet werden.

Verwandte Themen

Attestierungen durch die zentrale Entscheidergruppe

Mitunter können Attestierungsvorgänge nicht entschieden werden, da ein Attestierer nicht verfügbar ist oder keinen Zugang zu den One Identity Manager Werkzeugen hat. Um solche Attestierungsvorgänge dennoch abzuschließen, können Sie eine zentrale Entscheidergruppe festlegen, deren Mitglieder berechtigt sind, zu jedem Zeitpunkt in die Genehmigungsverfahren einzugreifen.

Die zentralen Entscheider sind berechtigt in besonderen Fällen Attestierungen zu genehmigen, abzulehnen, abzubrechen oder andere Attestierer zu beauftragen.

WICHTIG:

  • Da die zentralen Entscheider Attestierungsvorgänge jederzeit entscheiden können, kann mit deren Entscheidungen das 4-Augen-Prinzip für Genehmigungen durchbrochen werden. Legen Sie unternehmensspezifisch fest, in welchen besonderen Fällen die zentrale Entscheidergruppe in Genehmigungsverfahren eingreifen darf.

  • Zentrale Entscheider dürfen sich selbst attestieren. Die Einstellung des Konfigurationsparameters QER | Attestation | PersonToAttestNoDecide gilt nicht für die zentrale Entscheidergruppe.

  • Am Entscheidungsschritt kann festgelegt werden, wie viele Attestierer diesen Entscheidungsschritt entscheiden müssen.

    • Wird eine Entscheidung durch die zentrale Entscheidergruppe getroffen, dann ersetzt das die Entscheidung genau eines regulären Attestierers. Das heißt, wenn drei Attestierer den Entscheidungsschritt genehmigen müssen und die zentrale Entscheidergruppe entscheidet, sind noch zwei weitere Entscheidungen erforderlich.

    • Die Anzahl der Entscheider wird nicht berücksichtigt, wenn die Attestierung an Fallback-Entscheider zugewiesen wird. Die zentralen Entscheider können auch in diesem Fall die Attestierung übernehmen. Der Entscheidungsschritt gilt als entschieden, sobald 1 Mitglied aus der zentralen Entscheidergruppe die Attestierung entschieden hat.

  • Wenn ein regulärer Attestierer einen zusätzlichen Attestierer hinzugefügt hat, kann die zentrale Entscheidergruppe sowohl für den regulären als auch den zusätzlichen Attestierer entscheiden. Wenn beide Entscheidungen offen sind, ersetzt ein zentraler Entscheider zuerst nur die Entscheidung des regulären Attestierers. Erst eine zweite Entscheidung der zentralen Entscheidergruppe ersetzt die Entscheidung des zusätzlichen Attestierers.

Die zentrale Entscheidergruppe kann Attestierungen für alle manuellen Entscheidungsschritte entscheiden. Dabei gilt:

  • Für Entscheidungsschritte mit den Entscheidungsverfahren CD, EX und WC sind keine zentralen Entscheidungen möglich.

  • Wenn ein Mitglied der zentralen Entscheidergruppe für einen Entscheidungsschritt auch als regulärer Attestierer ermittelt wird, dann kann er diesen Entscheidungsschritt nur als regulärer Attestierer entscheiden.

  • Die zentrale Entscheidergruppe kann auch entscheiden, wenn ein regulärer Attestierer eine Anfrage gestellt hat und sich der Attestierungsvorgang im Hold-Status befindet.

Um Mitglieder in die zentrale Entscheidergruppe aufzunehmen

  1. Wählen Sie im Manager die Kategorie Attestierung > Basisdaten zur Konfiguration > Zentrale Entscheidergruppe.

  2. Wählen Sie die Aufgabe Identitäten zuweisen.

    Weisen Sie im Bereich Zuordnungen hinzufügen die Identitäten zu, die berechtigt sind alle Attestierungen zu entscheiden.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Identitäten entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Identität und doppelklicken Sie .

  3. Speichern Sie die Änderungen.
Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen