Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Attestierungshistorie

In der Attestierungshistorie werden die einzelnen Schritte des Attestierungsvorgangs dargestellt. Sie können hier den zeitlichen Ablauf und die Entscheidungen im Genehmigungsverfahren nachvollziehen. Die Attestierungshistorie wird sowohl für offene als auch für abgeschlossene Attestierungen angezeigt.

Um die Attestierungshistorie eines Attestierungsvorgangs anzuzeigen

  1. Wählen Sie im Manager die Kategorie

    • Attestierung > Attestierungsläufe > Attestierungsrichtlinien > <Attestierungsrichtlinie> > Attestierungsläufe > <Jahr> > <Monat> > <Tag> - ODER -

    • Attestierung > Attestierungsläufe > Richtlinienverbunde > <Richtlinienverbund> > Attestierungsläufe > <Jahr> > <Monat> > <Tag>.

  2. Wählen Sie den Filter Offene Attestierungen oder Abgeschlossene Attestierungen.

  3. Wählen Sie in der Ergebnisliste den Attestierungsvorgang.

  4. Wählen Sie den Bericht Attestierungshistorie.

Die Steuerelemente werden farblich hinterlegt. Der Farbcode spiegelt den Status der Entscheidungsschritte wieder.

Tabelle 35: Bedeutung der Farben in der Attestierungshistorie

Farbe

Bedeutung

Gelb

Attestierungsvorgang erstellt.

Grün

Attestierer hat genehmigt.

Rot

Attestierer hat abgelehnt.

Attestierung wurde eskaliert.

Attestierer hat seine Entscheidung widerrufen.

Grau

Attestierung wurde abgebrochen.

Vorgang wurde an einen zusätzlichen Attestierer zugewiesen.

Zusätzlicher Attestierer hat die Entscheidung zurückgewiesen.

Entscheidung wurde delegiert.

Neuer Attestierer hat die Delegierung zurückgewiesen.

Orange

Attestierer hat eine Nachfrage.

Nachfrage wurde beantwortet.

Nachfrage wurde wegen Entscheiderwechsel abgebrochen.

Blau

Attestierer hat die Entscheidung umgeleitet.

Der Entscheidungsschritt wurde automatisch zurückgesetzt.

Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen

Wenn Entscheidungsworkflows geändert werden, muss entschieden werden, ob diese Änderungen auf offene Attestierungsvorgänge übernommen werden sollen. Das gewünschte Vorgehen wird über Konfigurationsparameter festgelegt.

Szenario: An der Entscheidungsrichtlinie wurde ein anderer Entscheidungsworkflow hinterlegt

Wenn in einer Entscheidungsrichtlinie der Entscheidungsworkflow geändert wurde, werden offene Genehmigungsverfahren standardmäßig mit dem ursprünglichen Workflow fortgesetzt. Der neu hinterlegte Workflow wird nur in neuen Attestierungsvorgängen genutzt. Ein abweichendes Verhalten kann konfiguriert werden.

Um festzulegen, wie mit offenen Attestierungsvorgängen verfahren werden soll

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | OnWorkflowAssign und wählen Sie einen der folgenden Werte.

    • CONTINUE: Laufende Genehmigungsverfahren werden mit dem ursprünglich gültigen Workflow fortgesetzt. Der neu hinterlegte Workflow wird nur in neuen Attestierungsvorgängen genutzt.

      Dieses Verhalten gilt auch, wenn der Konfigurationsparameter deaktiviert ist.

    • RESET: In laufenden Genehmigungsverfahren werden alle bereits getroffenen Entscheidungen zurückgesetzt. Die Genehmigungsverfahren werden mit dem neu hinterlegten Workflow erneut gestartet. Die Attestierungsvorgänge durchlaufen das Genehmigungsverfahren erneut.

    • ABORT: Laufende Genehmigungsverfahren werden abgebrochen. Alle offenen Attestierungsvorgänge werden geschlossen. Beim nächsten automatischen oder manuellen Start der Attestierung wird der neue Entscheidungsworkflow genutzt.

Es wird eine Arbeitskopie des ursprünglich gültigen Workflows gespeichert. Die Arbeitskopie bleibt erhalten, solange sie noch in laufenden Genehmigungsverfahren genutzt wird. Alle ungenutzten Arbeitskopien werden über den Zeitplan Wartung Entscheidungsworkflows regelmäßig gelöscht.

Szenario: Ein genutzter Entscheidungsworkflow wurde geändert

Wenn ein Entscheidungsworkflow geändert wurde, der in offenen Attestierungsvorgängen genutzt wird, werden die offenen Genehmigungsverfahren standardmäßig mit dem ursprünglichen Workflow fortgesetzt. Die Änderungen am Entscheidungsworkflow sind nur für neue Attestierungsvorgänge wirksam. Ein abweichendes Verhalten kann konfiguriert werden.

Um festzulegen, wie mit offenen Attestierungsvorgängen verfahren werden soll

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | OnWorkflowUpdate und wählen Sie einen der folgenden Werte.

    • CONTINUE: Laufende Genehmigungsverfahren werden mit dem ursprünglich gültigen Entscheidungsworkflow fortgesetzt. Die Änderungen am Entscheidungsworkflow sind nur für neue Attestierungsvorgänge wirksam.

      Dieses Verhalten gilt auch, wenn der Konfigurationsparameter deaktiviert ist.

    • RESET: In laufenden Genehmigungsverfahren werden alle bereits getroffenen Entscheidungen zurückgesetzt. Die Genehmigungsverfahren werden mit dem geänderten Entscheidungsworkflow erneut gestartet. Die Attestierungsvorgänge durchlaufen das Genehmigungsverfahren erneut.

    • ABORT: Laufende Genehmigungsverfahren werden abgebrochen. Alle offenen Attestierungsvorgänge werden geschlossen. Beim nächsten automatischen oder manuellen Start der Attestierung wird der geänderte Entscheidungsworkflow genutzt.

Es wird eine Arbeitskopie des Entscheidungsworkflows gespeichert, welche die ursprüngliche Version enthält. Diese Arbeitskopie bleibt erhalten, solange sie noch in laufenden Genehmigungsverfahren genutzt wird. Alle ungenutzten Arbeitskopien werden über den Zeitplan Wartung Entscheidungsworkflows regelmäßig gelöscht.

Verwandte Themen

Attestierungsvorgänge für deaktivierte Identitäten schließen

Offene Attestierungsvorgänge müssen auch dann noch bearbeitet werden, wenn die zu attestierende Identität zwischenzeitlich dauerhaft deaktiviert wurde. Häufig ist das nicht nötig, da die betroffene Identität beispielsweise das Unternehmen verlassen hat. Dafür gibt es die Möglichkeit die offenen Attestierungsvorgänge einer Identität automatisch zu schließen, wenn diese Identität dauerhaft deaktiviert wird.

Um Attestierungsvorgänge automatisiert zu schließen

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | AutoCloseInactivePerson.

Der Konfigurationsparameter wirkt, wenn die zu attestierende Identität erst deaktiviert wird, nachdem der Attestierungsvorgang erstellt wurde.

Der Konfigurationsparameter wirkt nicht, wenn die Identität zeitweilig deaktiviert wird.

TIPP: Damit für deaktivierte Identitäten keine Attestierungsvorgänge erstellt werden, formulieren Sie die Bedingung zur Ermittlung der Attestierungsobjekte an den Attestierungsrichtlinien entsprechend. Weitere Informationen finden Sie unter Allgemeine Stammdaten von Attestierungsrichtlinien.

Attestierungsvorgänge löschen

Wenn regelmäßig Attestierungen durchgeführt werden, wächst die Tabelle AttestationCase sehr schnell. Um die Zahl der Attestierungsvorgänge in der One Identity Manager-Datenbank zu beschränken, können Sie veraltete, abgeschlossene Attestierungsvorgänge aus der Datenbank entfernen. Dabei werden die Eigenschaften der Attestierungsvorgänge aufgezeichnet und die Attestierungsvorgänge anschließend gelöscht. Es verbleiben genau so viele abgeschlossene Attestierungsvorgänge in der Datenbank, wie an den Attestierungsrichtlinien festgelegt ist. Ausführliche Informationen zum Aufzeichnen von Datenänderungen finden Sie im One Identity Manager Konfigurationshandbuch.

Hinweis: Aus Gründen der Revisionssicherheit sollten Sie die aufgezeichneten Attestierungsvorgänge archivieren. Ausführliche Informationen zur Einrichtung eines Archivierungsverfahrens finden Sie im One Identity Manager Administrationshandbuch für die Datenarchivierung.

Voraussetzungen

  • Der Konfigurationsparameter Common | ProcessState | PropertyLog ist aktiviert.

  • Die Attestierungsrichtlinie ist aktiviert.

Um Attestierungsvorgänge automatisiert zu löschen

  1. Aktivieren Sie an der Tabelle AttestationCase die Option Aufzeichnen beim Löschen für mindestens drei Spalten.

    1. Wählen Sie im Designer die Kategorie Datenbankschema | Tabellen | AttestationCase.

    2. Wählen Sie in der Aufgabenansicht Tabellendefinition anzeigen.

      Der Schemaeditor wird geöffnet.

    3. Wählen Sie im Schemaeditor eine Spalte.

    4. Wählen Sie in der Bearbeitungsansicht des Schemaeditors den Tabreiter Sonstiges.

    5. Aktivieren Sie die Option Aufzeichnen beim Löschen.

    6. Wiederholen Sie die Schritte c) bis e) für alle Spalten, die beim Löschen aufgezeichnet werden sollen, mindestens jedoch für drei Spalten.

    7. Klicken Sie Übernahme in Datenbank und speichern Sie die Änderungen.

      Sobald der DBQueue Prozessor die Berechnungsaufträge abgearbeitet hat, sind die Änderungen wirksam.

  2. Aktivieren Sie an der Tabelle AttestationHistory die Option Aufzeichnen beim Löschen für mindestens drei Spalten.

    1. Wählen Sie im Designer die Kategorie Datenbankschema | Tabellen | AttestationHistory.

    2. Wiederholen Sie die Schritte 1b) bis 1g) für die Tabelle AttestationHistory.

  3. Erfassen Sie an den Attestierungsrichtlinien die Anzahl veralteter Vorgänge.

    1. Wählen Sie im Manager die Kategorie Attestierung | Attestierungsrichtlinien.

    2. Wählen Sie in der Ergebnisliste die Attestierungsrichtlinie, deren Attestierungsvorgänge gelöscht werden sollen.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Erfassen Sie im Eingabefeld Anzahl veralteter Vorgänge einen Wert größer 0.

    5. Speichern Sie die Änderungen.
TIPP: Wenn Sie verhindern wollen, dass für einzelne Attestierungsrichtlinien die Attestierungsvorgänge gelöscht werden, erfassen Sie als Anzahl veralteter Vorgänge für diese Attestierungsrichtlinien den Wert 0.

Attestierungsvorgänge werden gelöscht, sobald für eine Attestierungsrichtlinie eine neue Attestierung gestartet wird.

Der One Identity Manager prüft, wie viele abgeschlossene Attestierungsvorgänge für jedes Attestierungsobjekt dieser Attestierungsrichtlinie in der Datenbank vorhanden sind. Wenn die Anzahl größer ist als die Anzahl veralteter Vorgänge der Attestierungsrichtlinie, werden

  • die Eigenschaften dieser Attestierungsvorgänge und ihr Entscheidungsverlauf aufgezeichnet

    Es werden alle Spalten aufgezeichnet, die zum Aufzeichnen beim Löschen markiert sind.

  • die Attestierungsvorgänge gelöscht

    Es verbleiben genau so viele abgeschlossene Attestierungsvorgänge in der Datenbank, wie in der Anzahl veralteter Vorgänge festgelegt ist.

Wenn der Konfigurationsparameter Common | ProcessState | PropertyLog nachträglich deaktiviert wird oder nicht genügend Spalten mit der Option Aufzeichnen beim Löschen markiert sind, hat der Wert für Anzahl veralteter Vorgänge keine Wirkung.

Besonderheiten für deaktivierte Attestierungsrichtlinien
  • Beim Deaktivieren einer Attestierungsrichtlinie werden immer alle Attestierungsvorgänge gelöscht.

  • Die Anzahl veralteter Vorgänge hat keine Wirkung.

  • Die Attestierungsvorgänge werden auch dann gelöscht, wenn der Konfigurationsparameter Common | ProcessState | PropertyLog deaktiviert ist. In diesem Fall werden die gelöschten Attestierungsvorgänge nicht aufgezeichnet.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen