Chat now with support
Chat mit Support

Identity Manager 9.3 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Nutzungsbedingungen für Attestierungen bereitstellen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen für Attestierungsrichtlinien Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Eigentümer der Attestierungsobjekte als Attestierer ermitteln

An verschiedene Objekte im One Identity Manager sind spezielle Eigentümer zugewiesen. Diese Eigentümer können über verschiedene Entscheidungsverfahren als Attestierer ermittelt werden.

GeschlossenPO - Vorgeschlagener Eigentümer
GeschlossenOP - Eigentümer eines privilegierten Objektes
GeschlossenPA - Zusätzlicher Besitzer der Active Directory Gruppe
GeschlossenSP - Eigentümer von Dienstprinzipalen
GeschlossenBA - Eigentümer der Anwendung
GeschlossenBE - Entscheider der Anwendungsberechtigung
Verwandte Themen

Eigentümer oder Entscheider der Attestierungsrichtlinie ermitteln

An Attestierungsrichtlinien können sowohl eine einzelne Identität als auch eine Anwendungsrolle als Eigentümer zugeordnet werden. Zudem können den Attestierungsrichtlinien beliebige Identitäten als Entscheider zugewiesen werden. Die Eigentümer und Entscheider können für die Attestierung beliebiger Objekte als Attestierer ermittelt werden.

GeschlossenAS - Entscheider der Attestierungsrichtlinie
GeschlossenPW - Eigentümer der Attestierungsrichtlinie
Verwandte Themen

Errechnete Entscheidung

Hinweis: Pro Entscheidungsebene kann nur ein Entscheidungsschritt mit dem Entscheidungsverfahren CD definiert werden.

Wenn Sie den Verlauf einer Attestierung von bestimmten Bedingungen abhängig machen wollen, nutzen Sie das Entscheidungsverfahren CD. Dieses Verfahren ermittelt keine Attestierer. Der One Identity Manager trifft die Entscheidung abhängig von der Bedingung, die im Entscheidungsschritt formuliert ist.

Das Verfahren können Sie für beliebige Basisobjekte der Attestierung anwenden. Im Entscheidungsschritt erstellen Sie eine Bedingung. Liefert die Bedingung ein Ergebnis, wird der Entscheidungsschritt durch den One Identity Manager genehmigt. Liefert die Bedingung kein Ergebnis, wird der Entscheidungsschritt durch den One Identity Manager abgelehnt. Folgen darauf keine weiteren Entscheidungsschritte wird der Attestierungsvorgang endgültig genehmigt oder abgelehnt.

Um eine Bedingung für das Entscheidungsverfahren CD zu erfassen

  1. Bearbeiten Sie die Eigenschaften des Entscheidungsschritts.

    Weitere Informationen finden Sie unter Entscheidungsebenen bearbeiten.

  2. Erfassen Sie im Eingabefeld Bedingungeine gültige Where-Klausel für Datenbankabfragen. Sie können diese direkt als SQL-Abfrage eingeben oder über einen Assistenten zusammenstellen.

Beispiel für einen einfachen Entscheidungsworkflow mit Entscheidungsverfahren CD

Externe Identitäten sollen durch ihren Manager attestiert werden. Wenn kein Manager zugewiesen ist, sollen die Mitglieder einer festgelegten Anwendungsrolle die Identitäten attestieren.

Mit dem Entscheidungsverfahren CD und der folgenden Bedingung ermitteln Sie alle externen Identitäten, denen ein Manager zugeordnet ist.

EXISTS
(SELECT 1 FROM
    (SELECT xobjectkey FROM Person WHERE (IsExternal = 1)
    AND (EXISTS
        (SELECT 1 FROM(SELECT UID_Person FROM Person WHERE 1 = 1) as X
    WHERE X.UID_Person = Person.UID_PersonHead) )) as X
WHERE X.xobjectkey = AttestationCase.ObjectKeyBase)

Ist die Bedingung erfüllt, soll der Manager der externen Identität die Identität attestieren. Dafür ergänzen Sie im positiven Entscheidungspfad einen Entscheidungsschritt mit dem Entscheidungsverfahren CM.

Ist die Bedingung nicht erfüllt, sollen die Mitglieder einer festgelegten Anwendungsrolle die Identität attestieren. Dafür ergänzen Sie im negativen Entscheidungspfad einen Entscheidungsschritt mit dem Entscheidungsverfahren OR und ordnen die Anwendungsrolle zu.

Verwandte Themen

Extern vorzunehmende Entscheidung

Wenn die Attestierung ausgeführt werden soll, sobald ein definiertes Ereignis außerhalb des One Identity Manager eintritt, nutzen Sie die extern vorzunehmende Entscheidung (Entscheidungsverfahren EX). Sie können dieses Verfahren auch nutzen, um Attestierer zu erreichen, die keinen Zugriff auf den One Identity Manager haben.

Im Entscheidungsschritt legen Sie ein Ereignis fest, das eine externe Entscheidung auslöst. Durch das Ereignis wird ein Prozess angestoßen, der die externe Entscheidung für den Attestierungsvorgang initiiert und das Ergebnis der Entscheidung auswertet. Das Genehmigungsverfahren wartet, bis das Ergebnis der externen Entscheidung an den One Identity Manager übermittelt wird. Abhängig von dieser Entscheidung definieren Sie weitere Entscheidungsschritte.

Um das Entscheidungsverfahren nutzen zu können

  1. Definieren Sie im Designer eigene Prozesse, die

    • eine externe Entscheidung auslösen,

    • die Ergebnisse der externen Entscheidung auswerten und

    • die daraufhin den externen Entscheidungsschritt im One Identity Manager positiv oder negativ entscheiden.

  2. Definieren Sie ein Ereignis, das den Prozess für die externe Entscheidung startet. Erfassen Sie das Ereignis im Entscheidungsschritt im Eingabefeld Ereignis.

Ist das externe Ereignis eingetreten, muss der Status des Entscheidungsschrittes im One Identity Manager geändert werden. Nutzen Sie dafür die Prozessfunktion CallMethod mit der Methode MakeDecision. Übergeben Sie der Prozessfunktion folgende Parameter:

MethodName: Value = "MakeDecision"

ObjectType: Value = "AttestationCase"

Param1: Value = "sa"

Param2: Value = <Entscheidung> ("true" = zugestimmt; "false" = abgelehnt)

Param3: Value = <Begründung der Entscheidung>

Param4: Value = <Standardbegründung>

Param5: Value = <Nummer des Entscheidungsschritts> (PWODecisionStep.SubLevelNumber)

WhereClause: Value = "UID_AttestationCase ='"& $UID_AttestationCase$ &"'"

Durch die Parameter legen Sie fest, welcher Attestierungsvorgang durch die externe Entscheidung entschieden werden soll (WhereClause). Der Parameter Param1 legt den Attestierer fest. Attestierer ist immer der Systembenutzer sa. Mit dem Parameter Param2 wird die Entscheidung übergeben. Wurde der Attestierung zugestimmt, muss der Wert True übergeben werden. Wurde die Attestierung abgelehnt, muss der Wert False übergeben werden. Über den Parameter Param3 übergeben Sie einen Begründungstext für die Entscheidung; über den Parameter Param4 können Sie eine vorformulierte Standardbegründung übergeben. Wenn in einer Entscheidungsebene mehrere externe Entscheidungsschritte definiert wurden, übergeben Sie im Parameter Param5 die Nummer des Entscheidungsschritts. Damit kann die Entscheidung dem korrekten Entscheidungsschritt zugeordnet werden.

Beispiel für die Anwendung des Entscheidungsverfahrens EX

Alle Complianceregeln sollen durch einen externen Gutachter geprüft und attestiert werden. Die Informationen über die Attestierungsobjekte sollen als PDF-Bericht auf einem externen Share bereitgestellt werden. Das Ergebnis der Attestierung soll der externe Gutachter in einer Textdatei auf dem externen Share ablegen. Nutzen Sie das Entscheidungsverfahren EX für extern vorzunehmende Entscheidungen und definieren Sie:

  • einen Prozess "P1", der einen PDF-Report mit den Informationen über die Attestierungsobjekte und den Attestierungsvorgang auf einem externen Share ablegt
  • ein Ereignis "E1", das den Prozess "P1" auslöst

    Das Ereignis "E1" tragen Sie im Entscheidungsschritt im Eingabefeld Ereignis und im Prozess "P1" als auslösendes Ereignis für die externe Entscheidung ein.

  • einen Prozess "P2", der das externe Share auf neue Textdateien überprüft, den Inhalt der Textdatei auswertet und im One Identity Manager die Funktion CallMethod mit der Methode MakeDecision aufruft
  • ein Ereignis "E2", das den Prozess "P2" auslöst
  • einen Zeitplan, der regelmäßig das Ereignis "E2" auslöst

Ausführliche Informationen über die Erstellung von Prozessen finden Sie im One Identity Manager Konfigurationshandbuch. Ausführliche Informationen zur Einrichtung von Zeitplänen finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen