Explizite Ausnahmegenehmigung
Wenn der Konfigurationsparameter QER | ComplianceCheck | EnableITSettingsForRule aktiviert ist, können an Complianceregeln zusätzliche Eigenschaften erfasst werden, die bei der Regelprüfung von Bestellungen berücksichtigt werden.
Mit der IT Shop Eigenschaft Explizite Ausnahmegenehmigung bestimmen Sie, ob erneute Regelverletzungen einem Ausnahmegenehmiger vorgelegt werden oder ob bereits vorhandene Ausnahmegenehmigungen nachgenutzt werden sollen.
Tabelle 47: Zulässige Werte
aktiviert |
Eine erkannte Regelverletzung wird immer zur Ausnahmegenehmigung vorgelegt, auch wenn es bereits eine genehmigte Ausnahme aus einer früheren Verletzung der Regel gibt. |
deaktiviert |
Eine erkannte Regelverletzung wird nicht erneut zur Ausnahmegenehmigung vorgelegt, wenn es bereits eine genehmigte Ausnahme aus einer früheren Verletzung der Regel gibt. Diese Ausnahmegenehmigung wird nachgenutzt und für die erkannte Regelverletzung automatisch eine Ausnahme zugelassen. |
Werden durch eine Bestellung mehrere Regeln verletzt und ist für eine dieser Regeln die Eigenschaft Explizite Ausnahmegenehmigung aktiviert, so wird die Bestellung den Ausnahmegenehmigern aller verletzten Regeln zur Entscheidung vorgelegt.
Regeln, für die die Option Explizite Ausnahmegenehmigung gesetzt ist, führen dann zu einer erneuten Ausnahmegenehmigung, wenn
Im Fall a wird die Bestellung für den IT Shop-Kunden den Ausnahmegenehmigern vorgelegt. Wird die Bestellung genehmigt, gilt bei der nächsten Bestellung Fall b. Im Fall b muss jede Bestellung für den IT Shop-Kunden durch den Ausnahmegenehmiger entschieden werden, auch wenn die Bestellung selbst nicht zur Regelverletzung führt. Sie erreichen damit, dass Zuweisungen für Identitäten, für die Ausnahmen genehmigt wurden, bei jeder neuen Bestellung überprüft und erneut genehmigt werden.
Ausführliche Informationen zu Ausnahmegenehmigungen finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.
Regelprüfung für Bestellungen mit Selbstbedienung
Die Selbstbedienung (Entscheidungsverfahren SB) wird immer als einstufiges Verfahren definiert. Das bedeutet, zu einem Entscheidungsschritt für Selbstbedienung können Sie keinen weiteren Entscheidungsschritt einrichten.
Um eine Regelprüfung für Bestellungen mit Selbstbedienung zu realisieren
Entscheiden von Bestellungen eines Entscheiders
Standardmäßig können Entscheider auch über Bestellungen entscheiden, in denen sie selbst Besteller (UID_PersonInserted) oder Empfänger (UID_PersonOrdered) sind. Um das zu verhindern, legen Sie das gewünschte Verhalten an den folgenden Konfigurationsparametern und am Entscheidungsschritt fest.
-
Konfigurationsparameter QER | ITShop | PersonOrderedNoDecide
-
Konfigurationsparameter QER | ITShop | PersonInsertedNoDecide
-
Option Entscheidung durch betroffene Identität am Entscheidungsschritt
Wenn Besteller oder Entscheider nicht entscheiden dürfen, werden deren Hauptidentität und alle ihre Subidentitäten aus dem Kreis der Entscheider entfernt.
Hinweis:
-
Die Einstellung der Konfigurationsparameter gilt auch für Fallback-Entscheider; sie gilt nicht für die zentrale Entscheidergruppe.
-
Die Konfigurationsparameter haben keinen Einfluss auf die Entscheidungsverfahren BS und BR. Diese Entscheidungsverfahren ermitteln den Besteller und den Empfänger der Bestellung auch dann, wenn die Konfigurationsparameter aktiviert sind. Weitere Informationen finden Sie unter Besteller ermitteln.
Zusammenfassung der Konfigurationsmöglichkeiten
Ein Besteller kann über eigene Bestellungen entscheiden, wenn:
Ein Empfänger kann über eigene Bestellungen entscheiden, wenn:
Ein Besteller kann nicht entscheiden, wenn:
Ein Empfänger kann nicht entscheiden, wenn:
Beispiel
Der Abteilungsleiter löst für seinen Mitarbeiter eine Bestellung aus. Beide Identitäten werden durch das Entscheidungsverfahren als Entscheider ermittelt. Um zu verhindern, dass der Abteilungsleiter die Bestellung genehmigen kann, aktivieren Sie den Parameter QER | ITShop | PersonInsertedNoDecide. Um zu verhindern, dass der Mitarbeiter die Bestellung genehmigen kann, aktivieren Sie den Parameter QER | ITShop | PersonOrderedNoDecide.
Entscheidung von Bestellungen eines Ausnahmegenehmigers
Analog dazu legen Sie fest, ob Ausnahmegenehmiger über ihre eigenen Bestellungen entscheiden dürfen, wenn durch die Bestellung Complianceregeln verletzt werden. Weitere Informationen finden Sie unter Einschränkung der Ausnahmegenehmiger.
Verwandte Themen
Einschränkung der Entscheider einrichten
Um zu verhindern, dass die Empfänger von Bestellungen als Entscheider ermittelt werden
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | PersonOrderedNoDecide.
Dieser Konfigurationsparameter wirkt, wenn am Entscheidungsschritt die Option Entscheidung durch betroffene Identität deaktiviert ist.
Um zu verhindern, dass die Besteller als Entscheider ermittelt werden
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | PersonInsertedNoDecide.
Dieser Konfigurationsparameter wirkt, wenn am Entscheidungsschritt die Option Entscheidung durch betroffene Identität deaktiviert ist.
Für einzelne Entscheidungsworkflows können Sie Ausnahmen von der generellen Festlegung an den Konfigurationsparametern PersonInsertedNoDecide und PersonOrderedNoDecide zulassen. Nutzen Sie diese Möglichkeit, damit die Besteller oder die Empfänger von Bestellungen in einzelnen Entscheidungsschritten selbst entscheiden können.
Um im Einzelfall zuzulassen, dass der Besteller oder Empfänger einer Bestellung als Entscheider ermittelt wird
Verwandte Themen