Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops IT Shop mit dem Application Governance Modul nutzen Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Leistungspositionen erfassen Servicekategorien erfassen Produktspezifische Bestelleigenschaften erfassen Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Nutzungsbedingungen erfassen Schlagworte erfassen
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellungen Delegierungen Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Systemberechtigungen automatisch in den IT Shop aufnehmen Ungenutzte Anwendungsrollen für Produkteigner löschen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien für Bestellungen Entscheidungsworkflows für Bestellungen Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Entscheiden von Bestellungen eines Entscheiders Bestellungen automatisch entscheiden Entscheidungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Bestellungen Weitere Informationen zur Bestellung einholen Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung
Überblick über Bestellungen Mehrfache Bestellungen eines Produktes Zeitlich begrenzte Bestellungen Umzug des Kunden oder des Produkts in einen anderen Shop Änderung des Entscheidungsworkflows bei offenen Bestellungen Bestellungen für Mitarbeiter Managerwechsel für Mitarbeiter bestellen Bestellungen stornieren Produkte abbestellen Benachrichtigungen im Bestellprozess Entscheidung per E-Mail Entscheidung über adaptive Karten Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften Bestellungen von dauerhaft deaktivierten Identitäten Bestellungen und Stellvertretungen löschen
Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Umstrukturieren des IT Shop Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Produktpakete Empfehlungen und Hinweise zum Transportieren von IT Shop Bestandteilen mit dem Database Transporter
Beheben von Fehlern im IT Shop Konfigurationsparameter für IT Shop Status von Bestellungen Beispiele für das Ergebnis von Bestellungen

Abfragen zur Ermittlung der Entscheider

Die Bedingung, über die die Entscheider ermittelt werden, wird als Datenbankabfrage formuliert. Für eine Bedingung können mehrere Abfragen kombiniert werden. Dabei werden alle Identitäten in den Entscheiderkreis aufgenommen, die durch die Einzelabfragen ermittelt werden.

Um die Bedingung zu bearbeiten

  1. Wählen Sie im Manager die Kategorie IT Shop > Basisdaten zur Konfiguration > Entscheidungsverfahren.

  2. Wählen Sie in der Ergebnisliste das Entscheidungsverfahren.

  3. Wählen Sie die Aufgabe Abfragen zur Ermittlung der Entscheider bearbeiten.

Um eine einzelne Abfrage zu erstellen

  1. Klicken Sie Hinzufügen.

    Es wird eine neue Zeile in die Tabelle eingefügt.

  2. Markieren Sie diese Zeile. Erfassen Sie die Eigenschaften der Abfrage.
  3. Fügen Sie bei Bedarf weitere Abfragen hinzu.
  4. Speichern Sie die Änderungen.

Um eine einzelne Abfrage zu bearbeiten

  1. Wählen Sie in der Tabelle die Abfrage, die Sie bearbeiten möchten. Bearbeiten Sie die Eigenschaften der Abfrage.
  2. Speichern Sie die Änderungen.

Um eine einzelne Abfrage zu entfernen

  1. Wählen Sie in der Tabelle die Abfrage, die Sie entfernen möchten.
  2. Klicken Sie Entfernen.
  3. Speichern Sie die Änderungen.
Tabelle 42: Eigenschaften einer Abfrage

Eigenschaft

Beschreibung

Entscheiderauswahl

Bezeichnung der Abfrage, die die Entscheider ermittelt.

Abfrage

Datenbankabfrage, die die Entscheider ermittelt.

Die Datenbankabfrage muss als Select-Anweisung formuliert werden. Die über die Datenbankabfrage ausgewählte Spalte muss eine UID_Person zurückgeben. Zusätzlich muss jede Abfrage einen Wert für UID_PWORulerOrigin übergeben. Ergebnis der Abfrage sind eine oder mehrere Identitäten, denen die Bestellung zur Entscheidung vorgelegt wird. Liefert die Abfrage kein Ergebnis, wird die Bestellung abgebrochen.

Eine Abfrage enthält genau eine Select-Anweisung. Um mehrere Select-Anweisungen zu kombinieren, erstellen Sie mehrere Abfragen.

Wenn eine DBQueue Prozessor Aufgabe zugewiesen ist, kann keine Abfrage zur Ermittlung der Entscheider erfasst werden.

Abfrage zur Neuberechnung

Datenbankabfrage zur Ermittlung der Bestellvorgänge, für die eine Neuberechnung der Entscheider notwendig ist.

Die Abfrage kann beispielsweise vorher festgelegte Entscheider ermitteln (Beispiel 1). Die Entscheider können auch dynamisch in Abhängigkeit der zu genehmigenden Bestellung ermittelt werden. Dafür greifen Sie innerhalb der Datenbankabfrage über die Variable @UID_PersonWantsOrg auf die zu genehmigende Bestellung zu (Beispiel 2).

Beispiel 1

Die Bestellungen sollen durch einen fest benannten Entscheider genehmigt werden.

Abfrage:

select UID_Person, null as UID_PWORulerOrigin from Person where InternalName='Bloggs, Jan'

Beispiel 2

Der Entscheider soll über die Abteilung des Bestellers ermittelt werden. Entscheidungsberechtigt ist der Manager der Kostenstelle, die der primären Abteilung des Bestellers zugeordnet sind. Der Besteller ist die Identität, die eine Bestellung auslöst (UID_PersonInserted, beispielsweise beim Bestellen für Mitarbeiter).

Abfrage:
select pc.UID_PersonHead as UID_Person, null as UID_PWORulerOrigin from PersonWantsOrg pwo
   join Person p on pwo.UID_PersonInserted = p.UID_Person
   join Department d on p.UID_Department = d.UID_Department
   join ProfitCenter pc on d.UID_ProfitCenter = pc.UID_ProfitCenter
   where pwo.UID_PersonWantsOrg = @UID_PersonWantsOrg
Delegierungen berücksichtigen

Um bei der Ermittlung der Entscheider auch Delegierungen zu berücksichtigen, ermitteln Sie in der Abfrage auch die Identitäten, an die eine Verantwortlichkeit delegiert wurde. Wenn die Manager hierarchischer Rollen entscheiden sollen, ermitteln Sie die Entscheider aus der Tabelle HelperHeadOrg. Diese Tabelle vereinigt alle Manager von hierarchischen Rollen, deren Stellvertreter sowie die Identitäten, an die eine Verantwortlichkeit delegiert wurde. Wenn die Mitglieder von Geschäfts- oder Anwendungsrollen entscheiden sollen, ermitteln Sie die Entscheider aus der Tabelle PersonInBaseTree. Diese Tabelle vereinigt alle Mitglieder von hierarchischen Rollen sowie die Identitäten, an die eine Mitgliedschaft delegiert wurde.

Um den Delegierenden zu benachrichtigen, wenn der Empfänger der Delegierung eine Bestellung entschieden hat, und damit im Web Portal angezeigt werden kann, ob der Entscheider aus einer Delegierung stammt, ermitteln Sie die UID_PWORulerOrigin.

Um die UID_PWORulerOrigin der Delegierung zu ermitteln

  • Ermitteln Sie die UID_PersonWantsOrg der Delegierung und übernehmen Sie diesen Wert als UID_PWORulerOrigin in die Abfrage. Nutzen Sie dafür die Tabellenfunktion dbo.QER_FGIPWORulerOrigin.

    select dbo.QER_FGIPWORulerOrigin(XObjectKey) as UID_PWORulerOrigin

Angepasste Abfrage aus Beispiel 2:

select hho.UID_PersonHead as UID_Person, dbo.QER_FGIPWORulerOrigin(hho.XObjectkey) as UID_PWORulerOrigin from PersonWantsOrg pwo
   join Person p on pwo.UID_PersonInserted = p.UID_Person
   join Department d on p.UID_Department = d.UID_Department
   join ProfitCenter pc on d.UID_ProfitCenter = pc.UID_ProfitCenter
   join HelperHeadOrg hho on hho.UID_Org = pc.UID_ProfitCenter
   where pwo.UID_PersonWantsOrg = @UID_PersonWantsOrg

Entscheidungsverfahren kopieren

Um beispielsweise Standard-Entscheidungsverfahren unternehmensspezifisch anzupassen, können Sie Entscheidungsverfahren kopieren und anschließend bearbeiten.

Um ein Entscheidungsverfahren zu kopieren

  1. Wählen Sie im Manager die Kategorie IT Shop > Basisdaten zur Konfiguration > Entscheidungsverfahren.

  2. Wählen Sie in der Ergebnisliste ein Entscheidungsverfahren. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  3. Wählen Sie die Aufgabe Kopie erstellen.

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  5. Erfassen Sie die Kurzbezeichnung für die Kopie.

    Die Kurzbezeichnung eines Entscheidungsverfahrens besteht aus maximal zwei Zeichen.

  6. Klicken Sie Ok, um die Kopieraktion zu starten.

    - ODER -

    Klicken Sie Abbrechen, um die Kopieraktion abzubrechen.

Entscheidungsverfahren löschen

Um ein Entscheidungsverfahren zu löschen

  1. Entfernen Sie alle Zuordnungen zu Entscheidungsschritten.

    1. Prüfen Sie auf dem Überblicksformular des Entscheidungsverfahrens, welchen Entscheidungsschritten das Entscheidungsverfahren zugeordnet ist.

    2. Wechseln Sie in den Entscheidungsworkflow und ordnen Sie dem Entscheidungsschritt ein anderes Entscheidungsverfahren zu.

  2. Wählen Sie im Manager die Kategorie IT Shop > Basisdaten zur Konfiguration > Kundendefiniert > Entscheidungsverfahren.

  3. Wählen Sie in der Ergebnisliste das Entscheidungsverfahren.

  4. Klicken Sie .

  5. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Ermitteln der verantwortlichen Entscheider

Welche Identität in welcher Entscheidungsebene entscheidungsberechtigt ist, wird durch den DBQueue Prozessor berechnet. Sobald eine Bestellung ausgelöst wird, werden die Entscheider für alle Entscheidungsschritte des zu durchlaufenden Entscheidungsworkflows ermittelt. Änderungen in den Verantwortlichkeiten können dazu führen, dass eine Identität für eine Bestellung, die noch nicht abschließend genehmigt ist, nun nicht mehr entscheidungsberechtigt ist. In diesem Fall müssen die Entscheider neu berechnet werden. Folgende Änderungen können eine Neuberechnung für noch nicht genehmigte Bestellungen auslösen:

  • Entscheidungsrichtlinie, -workflow, -schritt oder -verfahren wurde geändert.

  • Eine entscheidungsberechtigte Identität verliert ihre Verantwortlichkeiten im One Identity Manager, beispielsweise wenn der Manager einer Abteilung, der Produkteigner oder der Zielsystemverantwortliche geändert wird.

  • Eine Identität erhält Verantwortlichkeiten im One Identity Manager und wird dadurch entscheidungsberechtigt, beispielsweise als Manager des Bestellempfängers.

  • Eine entscheidungsberechtigte Identität wird deaktiviert.

Sobald für eine Identität eine Verantwortlichkeit im One Identity Manager geändert wird, wird ein Auftrag zur Neuberechnung der Entscheider in die DBQueue eingestellt. Dabei werden standardmäßig alle Entscheidungsschritte der offenen Genehmigungsverfahren neu berechnet. Bereits genehmigte Entscheidungsschritte bleiben genehmigt, auch wenn sich deren Entscheider geändert hat. Abhängig von der Konfiguration der Systemumgebung und der Menge der zu verarbeitenden Daten kann die Neuberechnung der Entscheider viel Zeit beanspruchen. Um diese Verarbeitungszeit zu optimieren, können Sie festlegen, für welche Entscheidungsschritte die Entscheider neu berechnet werden sollen.

HINWEIS: Der Auftrag zur Neuberechnung der Entscheider wird für Entscheidungsschritte eingestellt, in denen Standard-Entscheidungsverfahren verwendet werden. Entscheidungsschritte mit selbst definierten Entscheidungsverfahren werden nicht automatisch neu berechnet.

Um die Neuberechnung der Entscheider zu konfigurieren

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | ReducedApproverCalculation und wählen Sie als Wert eine der folgenden Optionen.

    Tabelle 43: Optionen für die Neuberechnung von Entscheidern
    Option Beschreibung

    No

    Alle Entscheidungsschritte werden neu berechnet. Dieses Verhalten gilt auch, wenn der Konfigurationsparameter deaktiviert ist.

    Vorteil: Im Entscheidungsverlauf werden alle gültigen Entscheider angezeigt. Der weitere Entscheidungsverlauf ist transparent.

    Nachteil: Die Neuberechnung der Entscheider kann viel Zeit beanspruchen.

    CurrentLevel

    Es werden nur die Entscheider für die aktuell zu bearbeitende Entscheidungsebene neu berechnet. Sobald eine Entscheidungsebene genehmigt wurde, werden die Entscheider für die folgende Entscheidungsebene aktuell ermittelt.

    Vorteil: Die Anzahl der zu berechnenden Entscheidungsebenen wird reduziert. Die Berechnung der Entscheider wird möglicherweise beschleunigt.

    TIPP: Nutzen Sie diese Option, wenn in Ihrer Umgebung Performance-Probleme im Zusammenhang mit der Neuberechnung der Entscheider auftreten.

    Nachteil: Im Entscheidungsverlauf werden für jeden nachfolgenden Entscheidungsschritt noch die ursprünglich berechneten Entscheider angezeigt, die gegebenenfalls nicht mehr entscheidungsberechtigt sind. Die Darstellung des weiteren Entscheidungsverlaufs ist möglicherweise nicht korrekt.

    NoRecalc

    Keine Neuberechnung der Entscheider. Für die aktuelle Entscheidungsebene bleiben die bisherigen Entscheider entscheidungsberechtigt. Sobald eine Entscheidungsebene genehmigt wurde, werden die Entscheider für die folgende Entscheidungsebene aktuell ermittelt.

    Vorteil: Die Anzahl der zu berechnenden Entscheidungsebenen wird reduziert. Die Berechnung der Entscheider wird möglicherweise beschleunigt.

    TIPP: Nutzen Sie diese Option, wenn in Ihrer Umgebung Performance-Probleme im Zusammenhang mit der Neuberechnung der Entscheider auftreten, obwohl die Option CurrentLevel genutzt wird.

    Nachteil: Im Entscheidungsverlauf werden für jeden nachfolgenden Entscheidungsschritt noch die ursprünglich berechneten Entscheider angezeigt, die gegebenenfalls nicht mehr entscheidungsberechtigt sind. Die Darstellung des weiteren Entscheidungsverlaufs ist möglicherweise nicht korrekt. Die aktuelle Entscheidungsebene können Identitäten entscheiden, die nicht mehr entscheidungsberechtigt sind.

    Im ungünstigen Fall wurden hier ursprünglich nur Entscheider ermittelt, die nun keinen Zugang zum One Identity Manager haben, beispielsweise weil sie das Unternehmen verlassen haben. Die Entscheidungsebene kann nicht entschieden werden.

    Um solche Entscheidungsschritte dennoch abschließen zu können

    • Definieren Sie beim Einrichten der Entscheidungsworkflows an den Entscheidungsschritten ein Timeout und das Verhalten bei Timeout.

      - ODER -

    • Weisen Sie beim Einrichten des IT Shops Mitglieder an die zentrale Entscheidergruppe zu. Diese können jederzeit in offene Genehmigungsverfahren eingreifen.

Detaillierte Informationen zum Thema
Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen