Selbstregistrierung neuer Benutzer im Web Portal
Noch nicht registrierte Benutzer haben die Möglichkeit sich für die Nutzung des Web Portals selbst zu registrieren. Diese Benutzer können sich am Web Portal anmelden, sobald die verantwortlichen Identitäten die Stammdaten des Benutzers attestiert haben und die Benutzer ein Kennwort gesetzt haben. In der One Identity Manager-Datenbank wird eine externe Identität angelegt.
Ablauf der Attestierung:
- Der Benutzer meldet sich erstmalig am Web Portal an und erfasst die benötigten Stammdaten.
Eine neue Identität wird in der One Identity Manager-Datenbank angelegt mit den Eigenschaften:
Tabelle 51: Eigenschaften einer neu angelegten Identität
|
Zertifizierungsstatus |
Neu |
|
Extern |
aktiviert |
|
Kontakt-E-Mail-Adresse |
E-Mail-Adresse, an die der Bestätigungslink geschickt wird. |
|
Dauerhaft deaktiviert |
aktiviert |
|
Keine Vererbung |
aktiviert |
- Die Attestierung startet automatisch.
Genutzte Attestierungsrichtlinie: Zertifizierung neuer Benutzer
Hinweis: Die Attestierung startet nur dann automatisch, wenn der Konfigurationsparameter QER | Attestation | UserApproval aktiviert ist. Andernfalls bleibt der neue Benutzer dauerhaft deaktiviert, bis ein Verantwortlicher die Identitätenstammdaten manuell ändert.
- Die Attestierer werden ermittelt.
Wirksame Entscheidungsrichtlinie: Zertifizierung von Benutzern
-
Wenn der Konfigurationsparameter QER | Attestation | ApproveNewExternalUsers aktiviert ist und der Wert 1 eingestellt ist, wird der Attestierungsvorgang den Mitgliedern der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer vorgelegt.
- Wenn ein Attestierer für externe Benutzer die Attestierung ablehnt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften der Identität werden in der Datenbank aktualisiert.
Tabelle 52: Eigenschaften einer externen Identität mit abgelehnter Attestierung
|
Zertifizierungsstatus |
Abgelehnt |
|
|
Extern |
aktiviert |
|
|
Dauerhaft deaktiviert |
aktiviert |
Der Benutzer kann sich nicht am Web Portal anmelden. |
|
Keine Vererbung |
aktiviert |
Unternehmensressourcen werden nicht vererbt. |
-
Wenn ein Attestierer für externe Benutzer der Attestierung zustimmt, wird eine E-Mail mit einem Bestätigungslink an den neuen Benutzer versendet.
HINWEIS: Wenn der Konfigurationsparameter QER | Attestation | ApproveNewExternalUsers deaktiviert ist oder der Wert 0 eingestellt ist, wird sofort eine E-Mail mit dem Bestätigungslink an den neuen Benutzer versendet.
-
Sobald der Benutzer dem Bestätigungslink gefolgt ist und ein Kennwort sowie die Kennwortfragen festgelegt hat, wird der Attestierungsvorgang genehmigt. Die Eigenschaften der Identität werden in der Datenbank aktualisiert.
Tabelle 53: Eigenschaften einer externen Identität mit genehmigter Attestierung
|
Zertifizierungsstatus |
Zertifiziert |
|
|
Extern |
aktiviert |
|
|
Dauerhaft deaktiviert |
deaktiviert |
Der Benutzer kann sich am Web Portal anmelden. |
|
Keine Vererbung |
deaktiviert |
Unternehmensressourcen werden vererbt. |
Standardmäßig ist der Bestätigungslink 4 Stunden gültig. Wenn die Anmeldung am Kennwortrücksetzungsportal fehl schlägt, weil diese Zeit abgelaufen ist, kann der Benutzer sich einen neuen Bestätigungslink zusenden lassen.
Wenn der Benutzer die Registrierung nicht innerhalb von 24 Stunden abgeschlossen hat, wird der Attestierungsvorgang abgebrochen. Um sich dennoch zu registrieren, muss sich der Benutzer erneut vollständig am Web Portal anmelden.
Verwandte Themen
Anlegen neuer Identitäten durch einen Manager oder Administrator von Identitäten
Eine Attestierung neuer Benutzer ist auch dann möglich, wenn im Manager neue Identitäten angelegt werden oder wenn ein Manager im Web Portal eine neue Identität hinzufügt. Das gewünschte Verhalten wird am Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState festgelegt. Standardmäßig hat der Konfigurationsparameter den Wert 0. Damit erhält jede neue Identität den Zertifizierungsstatus Zertifiziert. Es wird keine automatische Attestierung durchgeführt.
Damit neue Benutzer automatisch attestiert werden können
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState und setzen Sie den Wert auf 1.
Alle Identitäten, die ab diesem Zeitpunkt neu in der Datenbank angelegt werden, erhalten den Zertifizierungsstatus Neu. Damit wird eine automatische Attestierung dieser Identitäten durchgeführt.
Für interne und externe Identitäten gelten jeweils unterschiedliche Abläufe.
Ablauf der Attestierung:
- Erfassen Sie die Stammdaten des neuen Benutzers und ordnen Sie einen Manager zu.
Ausführliche Informationen zum Anlegen von Identitäten finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul und im One Identity Manager Web Designer Web Portal Anwenderhandbuch.
Der Zertifizierungsstatus entspricht dem Wert des Konfigurationsparameters QER | Attestation | UserApproval | InitialApprovalState. Wenn am Konfigurationsparameter der Wert 1 gesetzt ist, wird der Zertifizierungsstatus Neu gesetzt.
Die Identität ist standardmäßig aktiviert. Sie kann sich daher sofort am One Identity Manager anmelden. Damit die Identität sich erst dann am One Identity Manager anmelden kann, wenn ihre Stammdaten attestiert wurden, deaktivieren Sie die Identität.
- Sobald die Identitätenstammdaten gespeichert wurden, startet die Attestierung.
Genutzte Attestierungsrichtlinie: Zertifizierung neuer Benutzer
- Die Attestierer werden ermittelt.
Wirksame Entscheidungsrichtlinie: Zertifizierung von Benutzern
-
Wenn an der Identität die Option Extern aktiviert ist:
Die Attestierung läuft wie im Abschnitt Selbstregistrierung neuer Benutzer im Web Portal, Schritt 4 bis 5 beschrieben ab.
- Wenn an der Identität die Option Extern deaktiviert ist:
- Der One Identity Manager prüft, ob der Identität ein Manager zugeordnet wurde.
-
Wenn der Identität ein Manager zugeordnet wurde, wird der Vorgang sofort diesem Manager zur Entscheidung zugewiesen.
-
Wenn der Identität kein Manager zugeordnet wurde, wird der Vorgang den Administratoren von Identitäten zur Entscheidung zugewiesen.
- Ein Administrator von Identitäten prüft die Stammdaten des neuen Benutzers und ordnet gegebenenfalls einen Manager zu.
-
Ein Administrator von Identitäten ordnet einen Manager zu und stimmt der Attestierung zu. Der Vorgang wird dem Manager zur Entscheidung zugewiesen.
-
Wenn ein Administrator von Identitäten keinen Manager zuordnet und der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften der Identität werden in der Datenbank aktualisiert.
Tabelle 54: Eigenschaften einer Identität mit genehmigter Attestierung
|
Zertifizierungsstatus |
Zertifiziert |
|
|
Extern |
deaktiviert |
|
|
Dauerhaft deaktiviert |
deaktiviert |
|
|
Keine Vererbung |
deaktiviert |
Unternehmensressourcen werden vererbt. |
-
Wenn ein Administrator von Identitäten die Attestierung ablehnt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften der Identität werden in der Datenbank aktualisiert.
Tabelle 55: Eigenschaften einer Identität mit abgelehnter Attestierung
|
Zertifizierungsstatus |
Abgelehnt |
|
|
Extern |
deaktiviert |
|
|
Dauerhaft deaktiviert |
aktiviert |
|
|
Keine Vererbung |
aktiviert |
Unternehmensressourcen werden nicht vererbt.
Benutzerkonten werden nicht automatisch erstellt. |
- Der Manager kann die Attestierung ablehnen, wenn er nicht der verantwortliche Manager dieses Benutzers ist.
-
Er kann eine andere Identität als Manager zuordnen. Diesem wird der Vorgang sofort zur Entscheidung zugewiesen.
-
Wenn ihm der korrekte Manager nicht bekannt ist, wird die Entscheidung an die Administratoren von Identitäten zurückgegeben. Diese können
-
einen anderen Manager zuordnen,
-
keinen neuen Manager zuordnen und der Attestierung zustimmen oder
-
die Attestierung ablehnen.
- Wenn der Manager der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften der Identität werden in der Datenbank aktualisiert.
Tabelle 56: Eigenschaften einer Identität mit genehmigter Attestierung
|
Zertifizierungsstatus |
Zertifiziert |
|
|
Extern |
deaktiviert |
|
|
Dauerhaft deaktiviert |
deaktiviert |
|
|
Keine Vererbung |
deaktiviert |
Unternehmensressourcen werden vererbt. |
HINWEIS: Die Attestierung endgültig ablehnen können nur die Administratoren von Identitäten. Wenn ein Manager die Attestierung ablehnt, wird der Vorgang in jedem Fall an die Administratoren von Identitäten zur Entscheidung zurückgewiesen.
Verwandte Themen
Importieren neuer Identitätenstammdaten
Eine Attestierung neuer Identitäten kann angefordert werden, wenn die Identitätenstammdaten aus anderen Systemen in die One Identity Manager-Datenbank importiert werden. Damit neue Identitäten automatisch attestiert werden, muss der Zertifizierungsstatus der Identität beim Anlegen auf Neu gesetzt werden (Person.ApprovalState='1'). Dafür gibt es zwei Möglichkeiten:
-
Für den Zertifizierungsstatus wird der Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState ausgewertet. Wenn am Konfigurationsparameter der Wert 1 gesetzt ist, wird der Zertifizierungsstatus Neu gesetzt.
Voraussetzung: Der Import verändert nicht die Eigenschaft Person.ApprovalState.
Hinweis: Standardmäßig hat der Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalStateden Wert 0. Damit erhält jede neue Identität den Zertifizierungsstatus Zertifiziert. Es wird keine automatische Attestierung durchgeführt.
Wenn neue Identitäten sofort attestiert werden sollen, ändern Sie den Wert des Konfigurationsparameters auf 1.
- Der Import setzt explizit die Eigenschaft Person.ApprovalState.
-
Der Import setzt ApprovalState='1' (Neu).
Die Identität wird automatisch dem Manager zur Attestierung vorgelegt.
-
Der Import setzt ApprovalState='0' (Zertifiziert).
Die importierten Identitätenstammdaten sind bereits autorisiert. Sie sollen nicht erneut attestiert werden.
-
Der Import setzt ApprovalState='3' (Abgelehnt).
Die Identität wird dauerhaft deaktiviert und nicht attestiert.
Die Attestierung neuer Benutzer wird ausgelöst, wenn
-
der Konfigurationsparamter QER | Attestation | UserApproval aktiviert ist,
-
neue Identitätenstammdaten in die One Identity Manager-Datenbank importiert wurden,
-
der Zertifizierungsstatus der neuen Identitäten Neu ist und
-
keine Datenquelle Import an der Identität hinterlegt ist.
Wenn an der Identität die Option Extern deaktiviert ist, läuft die Attestierung wie im Abschnitt Anlegen neuer Identitäten durch einen Manager oder Administrator von Identitäten, Schritt 5 beschrieben ab.
Wenn an der Identität die Option Extern aktiviert ist, läuft die Attestierung wie im Abschnitt Selbstregistrierung neuer Benutzer im Web Portal, Schritt 4 bis 5 beschrieben ab.
Es wird die Attestierungsrichtlinie Zertifizierung neuer Benutzer ausgeführt.
Verwandte Themen
Zeitgesteuerte Attestierungen
Benutzer werden auch dann attestiert, wenn der Zertifizierungsstatus einer Identität nachträglich (manuell oder per Import) auf Neu gesetzt wird. Dafür ist der Attestierungsrichtlinie Zertifizierung neuer Benutzer der Zeitplan Daily zugeordnet. Die Attestierung neuer Benutzer wird ausgelöst, wenn der in diesem Zeitplan angegebene Ausführungszeitpunkt erreicht ist. Dabei werden alle Identitäten ermittelt, deren Zertifizierungsstatus Neu ist und für die es keinen offenen Attestierungsvorgang gibt.
Sie können der Attestierungsrichtlinie bei Bedarf einen unternehmensspezifischen Zeitplan zuweisen.
Detaillierte Informationen zum Thema
