In der Bereitstellungsphase wird zu Beginn jedes Attestierungslaufs für die Attestierungsrichtlinie geprüft, ob die erzeugten Attestierungsvorgänge korrekt sind. Prüfkriterien können sein:
-
Umfang der Attestierung
Werden zu viele oder zu wenige Attestierungsvorgänge erzeugt?
-> Muss die Bedingung der Attestierungsrichtlinie anders formuliert werden?
-
Ablauf der Attestierung
Werden die richtigen Attestierer in der richtigen Reihenfolge ermittelt?
-> Muss der Entscheidungsworkflow geändert werden?
-
Details der Attestierungsobjekte, die den Attestierern angezeigt werden
-
Werden zu viele oder zu wenige Detailinformationen angezeigt?
-> Muss der Bericht oder der Inhalt des Snapshots am Attestierungsverfahren geändert werden?
-
Werden falsche Informationen angezeigt?
-> Müssen die Stammdaten des Attestierungsobjekts korrigiert werden?
Wenn Fehler nur an einzelnen Attestierungsvorgängen festgestellt werden, können Sie diese Attestierungen ablehnen und die notwendigen Korrekturen an den Attestierungsobjekten vornehmen. Alle übrigen Attestierungsvorgänge können genehmigt werden und damit das weitere Genehmigungsverfahren durchlaufen.
Wenn grundsätzliche Fehler an der Attestierungsrichtlinie, am Attestierungsverfahren oder dem genutzten Entscheidungsworkflow festgestellt werden, können Sie alle noch offenen Attestierungsvorgänge markieren, gemeinsam ablehnen und anschließend die notwendigen Korrekturen vornehmen.
Verwandte Themen
Wenn eine Attestierung endgültig abgelehnt wird, kann den betroffenen Identitäten die Möglichkeit gegeben werden, diese Ablehnung anzufechten. Die Anfechtung kann insbesondere dann nützlich sein, wenn im Anschluss an abgelehnte Attestierungen Berechtigungen automatisch entzogen werden sollen. Die Betroffenen können das in letzter Instanz verhindern.
Um die Anfechtungsphase einzurichten
-
Bearbeiten Sie im Manager einen Entscheidungsworkflow und fügen Sie am Ende des Workflows eine neue Entscheidungsebene ein.
-
Erfassen Sie die Eigenschaften des Entscheidungsschritts.
Wenn der Workflow eine Entscheidungsebene zum automatischen Entzug der attestierten Berechtigung enthält, muss die Entscheidungsebene für die Anfechtung unmittelbar davor eingefügt werden.
-
Ziehen Sie den Verbinder Ablehnung von der vorhergehenden Entscheidungsebene zur Entscheidungsebene für die Anfechtung.
-
(Optional) Ziehen Sie den Verbinder Ablehnung von der Entscheidungsebene für die Anfechtung zur Entscheidungsebene für den automatischen Entzug von Berechtigungen.
- Speichern Sie die Änderungen.
-
Weisen Sie den Entscheidungsworkflow an eine Entscheidungsrichtlinie zu.
-
Weisen Sie die Entscheidungsrichtlinie an eine Attestierungsrichtlinie zu.
Eine Anfechtung ist möglich, wenn Benutzerkonten, Mitgliedschaften in Rollen und Organisationen oder Mitgliedschaften in Systemberechtigungen attestiert werden.
-
(Optional) Bearbeiten Sie die Stammdaten des Attestierungsverfahrens, das der Attestierungsrichtlinie zugeordnet ist.
- Speichern Sie die Änderungen.
Wenn die Betroffenen diesen Entscheidungsschritt ablehnen, wird die Attestierung endgültig abgelehnt. Wenn der automatische Entzug von Berechtigungen konfiguriert ist, wird die attestierte Zuweisung dann automatisch entfernt. Wenn die Betroffenen diesen Entscheidungsschritt genehmigen, wird die Attestierung final genehmigt.
Detaillierte Informationen zum Thema
Verwandte Themen
Wenn eine Attestierung endgültig abgelehnt wird, kann die abgelehnte Berechtigung sofort automatisch entzogen werden. Dafür wird am Ende des Entscheidungsworkflows ein automatischer Entscheidungsschritt mit einer extern vorzunehmenden Entscheidung eingefügt.
Um den automatischen Entzug von Berechtigungen einzurichten
-
Bearbeiten Sie im Manager einen Entscheidungsworkflow und fügen Sie am Ende des Workflows eine neue Entscheidungsebene ein.
-
Erfassen Sie die Eigenschaften des Entscheidungsschritts.
-
Ziehen Sie den Verbinder Ablehnung von der vorhergehenden Entscheidungsebene zur Entscheidungsebene für den automatischen Entzug von Berechtigungen.
- Speichern Sie die Änderungen.
-
Weisen Sie den Entscheidungsworkflow an eine Entscheidungsrichtlinie zu.
-
Weisen Sie die Entscheidungsrichtlinie an eine Attestierungsrichtlinie zu.
Der automatische Entzug von Berechtigungen ist möglich, wenn Mitgliedschaften oder Zuweisungen zu Anwendungsrollen, Geschäftsrollen, Systemrollen oder Systemberechtigungen attestiert werden.
- Speichern Sie die Änderungen.
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | AutoRemovalScope und die untergeordneten Konfigurationsparameter.
-
Wenn die Berechtigungen über IT Shop Bestellungen erworben wurden, legen Sie fest, ob diese Bestellungen abbestellt oder abgebrochen werden sollen. Aktivieren Sie dafür den Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName und wählen Sie einen Wert.
-
Abort: Bestellungen werden abgebrochen. Sie durchlaufen damit keinen Abbestellworkflow. Die bestellten Berechtigungen werden ohne zusätzliche Prüfung entzogen.
-
Unsubscribe: Bestellungen werden abbestellt. Sie durchlaufen den an den Entscheidungsrichtlinien hinterlegten Abbestellworkflow. Der Entzug der Berechtigung kann damit zusätzlich geprüft werden.
Wenn die Abbestellung abgelehnt wird, wird die Berechtigung nicht entzogen, obwohl die Attestierung abgelehnt ist.
Wenn der Konfigurationsparameter deaktiviert ist, werden die Bestellungen abgebrochen.
Detaillierte Informationen zum Thema
Verwandte Themen
Über eine Peer-Gruppen-Analyse können Attestierungsvorgänge automatisch genehmigt oder abgelehnt werden. Eine Peer-Gruppe bilden beispielsweise alle Identitäten derselben Abteilung. Bei der Peer-Gruppen-Analyse wird davon ausgegangen, dass diese Identitäten die gleichen Systemberechtigungen oder sekundären Mitgliedschaften benötigen. Wenn also eine große Mehrheit der Identitäten in einer Abteilung eine bestimmte Systemberechtigung besitzt, kann deren Zuweisung an eine andere Identität dieser Abteilung automatisch genehmigt werden. Dadurch können Genehmigungsverfahren beschleunigt werden.
Die Peer-Gruppen-Analyse kann angewendet werden, wenn folgende Zuweisungen oder Mitgliedschaften attestiert werden:
- Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup), wenn das Benutzerkonto mit einer Identität verbunden ist
- Sekundäre Mitgliedschaften in Rollen und Organisationen (Tabelle PersonInBaseTree und deren Ableitungen)
Als Peer-Gruppe werden alle Identitäten zusammengefasst, die denselben Manager haben oder die derselben primären oder sekundären Abteilung angehören, wie die Identität, die mit dem Attestierungsobjekt verbunden ist (= zu attestierende Identität). Welche Identitäten zu einer Peer-Gruppe zusammengefasst werden, wird über Konfigurationsparameter festgelegt. Es muss mindestens einer der folgenden Konfigurationsparameter aktiviert sein.
-
QER | Attestation | PeerGroupAnalysis | IncludeManager: Identitäten, die denselben Manager haben, wie die zu attestierende Identität
-
QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Identitäten, die derselben primären Abteilung angehören, wie die zu attestierende Identität
-
QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Identitäten, deren sekundäre Abteilung der primären oder sekundären Abteilung der zu attestierenden Identität entspricht
Welcher Anteil der Identitäten einer Peer-Gruppe die zu attestierende Zuweisung oder Mitgliedschaft bereits besitzen muss, wird über einen Schwellwert im Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold festgelegt. Der Schwellwert gibt das Verhältnis zwischen der Gesamtzahl der Identitäten in der Peer-Gruppe und der Anzahl der Identitäten in der Peer-Gruppe, welche diese Zuweisung oder Mitgliedschaft bereits besitzen, an.
Zusätzlich kann festgelegt werden, dass Identitäten keine funktionsfremden Zuweisungen oder Mitgliedschaften besitzen dürfen. Das heißt, wenn die Zuweisung oder Mitgliedschaft und die zu attestierende Identität zu unterschiedlichen Unternehmensbereichen gehören, soll der Attestierungsvorgang abgelehnt werden. Um diese Prüfung in die Peer-Gruppen-Analyse einzubeziehen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.
Ob eine Zuweisung oder Mitgliedschaft funktionsfremd ist, kann nur geprüft werden, wenn folgende Bedingungen erfüllt sind:
-
Die zu attestierende Identität und die Mitglieder der Peer-Gruppe haben die Zuweisung oder Mitgliedschaft im IT Shop bestellt.
-
Der zu attestierenden Identität ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.
-
Der Leistungsposition, die der Zuweisung oder Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.
Bei einer vollständig konfigurierten Peer-Gruppen-Analyse werden Attestierungsvorgänge automatisch genehmigt, wenn:
-
die zu attestierende Mitgliedschaft nicht funktionsfremd ist und
-
die Anzahl der Identitäten in der Peer-Gruppe, welche diese Mitgliedschaft bereits besitzen, einen festgelegten Schwellwert erreicht oder übersteigt.
Andernfalls werden die Attestierungsvorgänge automatisch abgelehnt.
Um diese Funktionalität nutzen zu können, stellt der One Identity Manager den Prozess ATT_AttestationCase_Peer group analysis und das Ereignis PeerGroupAnalysis bereit. Der Prozess wird über einen Entscheidungsschritt mit dem Entscheidungsverfahren EX ausgeführt.
Detaillierte Informationen zum Thema