Mit dem One Identity Manager können Regeln zur Einhaltung und Überwachung regulatorischer Anforderungen definiert und Regelverletzungen automatisiert behandelt werden. Complianceregeln definieren, welche Berechtigungen oder Berechtigungskombinationen im Rahmen des Identity Audit für die Identitäten im Unternehmen überprüft werden sollen. Durch die Regelprüfung können einerseits bestehende Regelverletzungen gefunden werden. Andererseits können mögliche Regelverletzungen präventiv identifiziert und damit vermieden werden.
Abbildung 1: Identity Audit im One Identity Manager
Einfache Beispiele für Regeln sind:
-
Eine Identität darf nicht gleichzeitig zwei Berechtigungen A und B erhalten.
-
Nur Identitäten einer bestimmten Abteilung dürfen eine bestimmte Berechtigung besitzen.
-
Jedem Benutzerkonto muss eine verantwortliche Identität zugeordnet sein.
Mit der Identity Audit Funktion des One Identity Manager können Sie:
-
Regeln über beliebige Zuweisungen an Identitäten definieren
-
Risiken möglicher Regelverletzungen bewerten
-
Risikomindernde Maßnahmen festlegen
-
Regelmäßige oder spontane Regelprüfungen veranlassen
-
Bearbeitungsberechtigungen von Identitäten innerhalb eines SAP Mandanten detailliert überprüfen (mittels SAP Funktionen)
-
Regelverletzungen nach verschiedenen Kriterien auswerten
-
Berichte über Regeln und Regelverletzungen erstellen
Auf Basis dieser Informationen können Sie Korrekturen an den Daten im One Identity Manager vornehmen und in die angeschlossenen Zielsysteme übertragen. Durch die im One Identity Manager integrierte Berichtsfunktion können die Informationen für entsprechende Prüfungen bereitgestellt werden.
Um die Identity Audit Funktion zu nutzen
Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL-Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
In die Verwaltung des Regelwerks und die Bearbeitung von Regelverletzungen sind folgende Benutzer eingebunden.
Tabelle 1: Benutzer
Administratoren für Identity Audit |
Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Erstellen die Basisdaten für die Erstellung des Regelwerks.
-
Erstellen die Complianceregeln und weisen die Regelverantwortlichen zu.
-
Können bei Bedarf die Regelprüfung starten und Regelverletzungen einsehen.
-
Erstellen Berichte über Regelverletzungen.
-
Erfassen risikomindernde Maßnahmen.
-
Erstellen und bearbeiten Risikoindex-Berechnungsvorschriften.
-
Überwachen die Identity Audit Funktionen.
-
Administrieren die Anwendungsrollen für Regelverantwortliche, Ausnahmegenehmiger und Attestierer.
-
Richten bei Bedarf weitere Anwendungsrollen ein. |
Regelverantwortliche |
Die Regelverantwortlichen müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Regelverantwortliche oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Sind inhaltlich verantwortlich für Complianceregeln, beispielsweise Wirtschaftsprüfer oder Revisionsabteilung.
-
Bearbeiten die Arbeitskopien der Complianceregeln, denen die Anwendungsrolle zugeordnet ist.
-
Aktivieren und deaktivieren Complianceregeln.
-
Können bei Bedarf die Regelprüfung starten und Regelverletzungen einsehen.
-
Weisen risikomindernde Maßnahmen zu. |
One Identity Manager Administratoren |
Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.
Administratoren:
-
Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne. |
Ausnahmegenehmiger |
Die Ausnahmegenehmiger müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Ausnahmegenehmiger oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Attestierer für Complianceregeln |
Die Attestierer müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Attestierer zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Attestieren im Web Portal die Complianceregeln und Ausnahmegenehmigungen, für die sie verantwortlich sind.
-
Können die Stammdaten der Complianceregeln sehen, aber nicht bearbeiten.
HINWEIS: Diese Anwendungsrolle steht zur Verfügung, wenn das Modul Attestierung vorhanden ist. |
Compliance & Security Officer |
Compliance & Security Officer müssen der Anwendungsrolle Identity & Access Governance | Compliance & Security Officer zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Sehen im Web Portal alle Compliance-relevanten Informationen und deren Auswertungen. Dazu gehören Attestierungsrichtlinien, Unternehmensrichtlinien und Richtlinienverletzungen, Complianceregeln und Regelverletzungen sowie Risikoindex-Berechnungsvorschriften.
-
Können Attestierungsrichtlinien bearbeiten. |
Auditoren |
Die Auditoren sind der Anwendungsrolle Identity & Access Governance | Auditoren zugewiesen.
Benutzer mit dieser Anwendungsrolle:
|
Um Regeln zu erstellen, Regelprüfungen zu veranlassen und Regelverletzungen zu behandeln, werden verschiedene Basisdaten benötigt.
Regelgruppen verwenden Sie zur funktionalen Zusammenfassung von Regeln, beispielsweise zur Gruppierung von Kontenrichtlinien oder zur Abgrenzung von Funktionen ("Segregation of duties").
Um eine Regelgruppe zu erstellen oder zu bearbeiten
-
Wählen Sie im Manager die Kategorie Identity Audit > Basisdaten zur Konfiguration > Regelgruppen.
-
Wählen Sie in der Ergebnisliste eine Regelgruppe. Wählen Sie die Aufgabe Stammdaten bearbeiten.
- ODER -
Klicken Sie in der Ergebnisliste .
-
Bearbeiten Sie die Stammdaten der Regelgruppe.
- Speichern Sie die Änderungen.
Für eine Regelgruppe erfassen Sie folgende Stammdaten.
Tabelle 2: Eigenschaften einer Regelgruppe
Name der Gruppe |
Bezeichnung der Regelgruppe. |
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
Übergeordnete Gruppe |
Übergeordnete Regelgruppe in einer Hierarchie.
Wählen Sie aus der Auswahlliste die übergeordnete Regelgruppe, um Regelgruppen hierarchisch zu organisieren. |