Wenn sich neue Benutzer am Web Portal registrieren oder wenn neue extern Personen zertifiziert werden sollen, erhalten diese Personen eine Mailbenachrichtigung, die einen Link zum Kennwortrücksetzungsportal enthält. Über diesen Link bestätigen die Personen ihre Kontakt-E-Mail-Adresse und setzen ein Kennwort und die Kennwortfragen.
Um eine Benachrichtigung mit dem Bestätigungslink versenden zu können
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailTemplateIdents | NewExternalUserVerification.
Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage Attestierung - Bestätigungslink für neuen externen Benutzer versendet.
TIPP: Um eine andere als die Standardmailvorlage für diese Benachrichtigungen zu nutzen, ändern Sie den Wert des Konfigurationsparameters.
Detaillierte Informationen zum Thema
Der One Identity Manager stellt standardmäßig Mailvorlagen bereit. Diese Mailvorlagen werden in den Sprachen Deutsch und Englisch bereitgestellt. Wenn Sie den Mailtext in anderen Sprachen benötigen, können Sie Maildefinitionen für diese Sprachen zu den Standard-Mailvorlagen hinzufügen.
Um Standard-Mailvorlagen zu bearbeiten
Verwandte Themen
Um Attestierern, die zeitweilig keinen Zugang zu den One Identity Manager-Werkzeugen haben, die Möglichkeit zu geben, Attestierungsvorgänge zu entscheiden, können Sie die Attestierung per E-Mail einrichten. Dabei erhalten die Attestierer eine E-Mail-Benachrichtigung, wenn für sie ein Attestierungsvorgang zur Entscheidung vorliegt. Über entsprechende Links in der E-Mail können die Attestierer die Entscheidung treffen, ohne sich mit dem Web Portal zu verbinden. Dabei wird eine E-Mail generiert, die die Entscheidung enthält und in der der Attestierer eine Begründung seiner Entscheidung erfassen soll. Diese E-Mail wird an ein zentrales Postfach gesendet. Der One Identity Manager überprüft das Postfach regelmäßig, wertet die eingegangenen E-Mails aus und aktualisiert entsprechend den Status der Attestierungsvorgänge.
WICHTIG: Eine Attestierung per E-Mail ist nicht möglich, wenn für die Attestierungsrichtlinie die Multifaktor-Authentifizierung konfiguriert ist. Attestierungsmails für solche Attestierungen bewirken eine Fehlermeldung.
Voraussetzungen
-
Wenn Sie ein Microsoft Exchange Postfach verwenden, konfigurieren Sie die Microsoft Exchange-Umgebung mit
-
Microsoft Exchange Client Access Server Version 2007, Service Pack 1 oder höher
-
Microsoft Exchange Web Service .NET API Version 1.2.1, 32 Bit
-
Wenn Sie ein Exchange Online Postfach verwenden, registrieren Sie im Microsoft Azure Management Portal in ihrem Azure Active Directory Mandanten eine Anwendung, beispielsweise One Identity Manager <Approval by Mail>.
Ausführliche Informationen, wie Sie die Anwendung registrieren, finden Sie unter https://docs.microsoft.com/en-us/exchange/client-developer/exchange-web-services/how-to-authenticate-an-ews-application-by-using-oauth#register-your-application.
-
Das Benutzerkonto des One Identity Manager Service für die Anmeldung am Microsoft Exchange beziehungsweise am Exchange Online benötigt Vollzugriff auf das Postfach, das im Konfigurationsparameter QER | Attestation | MailApproval | Inbox angegeben ist.
-
Der Konfigurationsparameter QER | Attestation | MailTemplateIdents | RequestApproverByCollection ist deaktiviert.
Um die Attestierung per E-Mail einzurichten
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailApproval | Inbox und geben Sie das Postfach an, an das Entscheidungsmails gesendet werden sollen.
-
Richten Sie den Zugriff auf das Postfach ein.
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailTemplateIdents | ITShopApproval.
An diesem Konfigurationsparameter ist die Mailvorlage hinterlegt, die genutzt wird, um die Attestierungsmail zu erstellen. Sie können die Standardmailvorlage nutzen oder eine unternehmensspezifische Mailvorlage hinterlegen.
TIPP: Um eine unternehmensspezifische Mailvorlage für Attestierungsmails zu nutzen, ändern Sie den Wert des Konfigurationsparameters. Passen Sie in diesem Fall auch das Skript VI_MailApproval_ProcessMail an.
-
Ordnen Sie an den Entscheidungsschritten folgende Mailvorlagen zu.
Tabelle 39: Mailvorlagen für die Entscheidung per E-Mail
|
Mailvorlage Aufforderung |
Attestierung - Aufforderung zur Entscheidung (per E-Mail) |
|
Mailvorlage Erinnerung |
Attestierung - Erinnerung Entscheider (per E-Mail) |
|
Mailvorlage Delegierung |
Attestierung - Delegierte/zusätzliche Entscheidung (per E-Mail) |
|
Mailvorlage Zurückweisung |
Attestierung - Ablehnung Entscheidung (per E-Mail) |
-
Konfigurieren und aktivieren Sie im Designer den Zeitplan Verarbeiten der Entscheidungen von Attestierungen per E-Mail.
Entsprechend diesem Zeitplan überprüft der One Identity Manager regelmäßig das Postfach nach neuen Attestierungsmails. Standardmäßig wird das Postfach alle 15 Minuten überprüft. Sie können das Ausführungsintervall des Zeitplans entsprechend ihren Erfordernissen anpassen.
Um das Postfach aufzuräumen
Verwandte Themen
Der Zeitplan Verarbeiten der Entscheidungen von Attestierungen per E-Mail startet den Prozess VI_Attestation_Process Approval Inbox. Dieser Prozess führt das Skript VI_MailApproval_ProcessInBox aus, welches das Postfach nach neuen Attestierungsmails durchsucht und die Attestierungsvorgänge in der One Identity Manager-Datenbank aktualisiert. Dabei wird der Inhalt der Attestierungsmail verarbeitet.
HINWEIS: Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Attestierungen per E-Mail verwendet wird!
Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der One Identity Manager Service läuft, diesem Rootzertifikat vertrauen.
TIPP: Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover-Dienst läuft.
Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter QER\Attestation\MailApproval\ExchangeURI an.
Attestierungsmails werden durch das Skript VI_MailApproval_ProcessMail verarbeitet. Das Skript ermittelt die getroffene Entscheidung, aktiviert bei positiver Entscheidung die Option Genehmigt und hinterlegt die Begründung für die Entscheidung an den Attestierungsvorgängen. Über die Absenderadresse wird der Attestierer ermittelt. Danach wird die Attestierungsmail abhängig vom gewählten Aufräumverfahren aus dem Postfach entfernt.
HINWEIS: Wenn Sie eine unternehmensspezifische Mailvorlage für die Attestierungsmail nutzen, prüfen Sie das Skript und passen Sie es gegebenenfalls an. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!
