Attestierung und Rezertifizierung von Benutzern
Über die Attestierungsfunktion des One Identity Manager können die Stammdaten von Identitäten sowie deren Zielsystemberechtigungen und Zuweisungen regelmäßig überprüft und autorisiert werden. Darüber hinaus stellt der One Identity Manager Standardverfahren bereit, über welche die Stammdaten von One Identity Manager Benutzern, die neu in die One Identity Manager-Datenbank aufgenommen wurden, zeitnah durch deren Manager attestiert und zertifiziert werden. Diese Funktionalität kann beispielsweise genutzt werden, wenn externen Mitarbeitern zeitweilig Zugang zu One Identity Manager gewährt werden soll. Für interne und externe Identitäten gelten jeweils unterschiedliche Abläufe.
Über zeitgesteuerte Aufträge kann eine regelmäßige Rezertifizierung durchgeführt werden.
Im Rahmen der Attestierung kann ein Manager die Identitätenstammdaten des zu zertifizierenden Benutzers prüfen und bei Bedarf aktualisieren. Für Attestierungen nutzen Sie das Web Portal.
Detaillierte Informationen zum Thema
Verwandte Themen
One Identity Manager Benutzer für die Attestierung und Rezertifizierung von Benutzern
In die Attestierung und Rezertifizierung von Identitäten sind folgende Benutzer eingebunden.
Tabelle 50: Benutzer
Administratoren von Identitäten |
Administratoren von Identitäten müssen der Anwendungsrolle Identity Management | Identitäten | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Bearbeiten die Stammdaten aller Identitäten.
-
Ordnen den Identitäten Manager zu.
-
Weisen Unternehmensressourcen an die Identitäten zu.
-
Überprüfen und autorisieren die Stammdaten von Identitäten.
-
Erstellen und bearbeiten Risikoindex-Berechnungsvorschriften.
-
Bearbeiten Kennwortrichtlinien für Kennwörter von Identitäten.
-
Können Sicherheitsschlüssel (Webauthn) von Identitäten löschen.
-
Können im Web Portal die Bestellungen, Attestierungen und Delegierungen aller Identitäten sehen und Delegierungen bearbeiten. |
Manager |
- Prüfen die Identitätenstammdaten der zu zertifizierenden internen Benutzer.
- Aktualisieren bei Bedarf die Identitätenstammdaten.
- Ordnen gegebenenfalls einen anderen Manager zu.
- Attestieren die Stammdaten.
|
Attestierer für externe Benutzer |
Die Attestierer für externe Benutzer müssen der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Administratoren für Attestierungsvorgänge |
Administratoren für die Attestierungsvorgänge müssen der Anwendungsrolle Identity & Access Governance | Attestierung | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Web Portal Benutzer |
- Registrieren sich am Web Portal und erfassen ihre Stammdaten.
|
Selbstregistrierte Identitäten |
Externen Identitäten, die sich im Web Portal selbst registriert haben, werden über eine dynamische Rolle an die Anwendungsrolle Basisrollen | Selbstregistrierte Identitäten zugewiesen.
Benutzer mit dieser Anwendungsrolle:
- Legen ihr Kennwort und die Kennwortfrage für die Anmeldung an den One Identity Manager-Werkzeugen fest.
|
Attestierung und Rezertifizierung von Benutzern konfigurieren
Um die Attestierungs- und Rezertifizierungsfunktion für neue interne Benutzer nutzen zu können
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | UserApproval.
-
Weisen Sie der Anwendungsrolle Identity Management | Identitäten | Administratoren mindestens eine Identität zu.
Alle Identitäten mit dieser Anwendungsrolle können im Verlauf der Attestierung einen Manager an die zu attestierenden Identitäten zuordnen.
Um die Attestierungs- und Rezertifizierungsfunktion für neue externe Benutzer nutzen zu können
-
Aktivieren Sie im Designer die folgenden Konfigurationsparameter:
-
QER | Attestation | ApproveNewExternalUsers: Wählen Sie den Wert 1.
-
QER | WebPortal | PasswordResetURL: Geben Sie als Wert die URL zum Kennwortrücksetzungsportal an.
-
QER | Attestation | MailTemplateIdents | NewExternalUserVerification: Mailvorlage für den Versand des Bestätigungslinks.
-
QER | Attestation | NewExternalUserTimeoutInHours: Legen Sie fest, wie viele Stunden der Bestätigungslink für neue externe Benutzer gültig ist.
Standardmäßig ist der Bestätigungslink 4 Stunden gültig. Wenn die Anmeldung am Kennwortrücksetzungsportal fehl schlägt, weil diese Zeit abgelaufen ist, kann der Benutzer sich einen neuen Bestätigungslink zusenden lassen. Um den Gültigkeitszeitraum des Bestätigungslinks zu ändern, passen Sie den Wert des Konfigurationsparameters an.
-
QER | Attestation | NewExternalUserFinalTimeoutInHours: Legen Sie fest, nach wie vielen Stunden die Selbstregistrierung neuer Benutzer abgebrochen wird, sofern die Registrierung noch nicht erfolgreich abgeschlossen wurde.
Wenn der Benutzer die Registrierung nicht innerhalb von 24 Stunden abgeschlossen hat, wird der Attestierungsvorgang abgebrochen. Um sich dennoch zu registrieren, muss sich der Benutzer erneut vollständig am Web Portal anmelden. Um die Gültigkeitsdauer der Registrierung zu ändern, passen Sie den Wert des Konfigurationsparameters an.
-
Weisen Sie der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer mindestens eine Identität zu.
Detaillierte Informationen zum Thema
Attestierung neuer Benutzer
Für die Attestierung neuer Benutzer unterscheidet der One Identity Manager drei Anwendungsfälle:
-
Registrieren eines neuen externen Benutzers bei der Anmeldung im Web Portal
-
Anlegen neuer Identitäten im Manager oder durch einen Manager im Web Portal
-
Anlegen neuer Identitäten durch Import der Identitätenstammdaten
Das Ergebnis der Attestierung ist in allen drei Anwendungsfällen identisch.
-
Identitäten, die zertifiziert und aktiviert sind und damit über alle ihnen zugewiesenen Berechtigungen im One Identity Manager und den angeschlossenen Zielsystemen verfügen.
Unternehmensressourcen werden vererbt. Kontendefinitionen werden an interne Identitäten zugewiesen.
- ODER -
-
Identitäten, die abgelehnt und dauerhaft deaktiviert sind.
Deaktivierte Identitäten können sich nicht an den One Identity Manager Werkzeugen anmelden. Unternehmensressourcen werden nicht vererbt. Kontendefinitionen werden nicht automatisch zugewiesen. Mit der Identität verbundene Benutzerkonten werden gegebenenfalls gesperrt oder gelöscht. Das gewünschte Verhalten können Sie unternehmensspezifisch konfigurieren.