Der IT Shop ermöglicht den Benutzern das Anfordern von Unternehmensressourcen wie Software, Systemrollen oder Gruppenmitgliedschaften sowie Nicht-IT-Ressourcen wie beispielsweise Mobiltelefone oder Schlüssel. Darüber hinaus kann auch die Mitgliedschaft in einer hierarchischen Rolle (Abteilung, Standort, Kostenstelle, Geschäftsrolle) über den IT Shop bestellt werden. Die Bearbeitung der Anfragen läuft über flexible, richtlinienbasierte Genehmigungsverfahren. Durch den Einsatz des IT Shops werden zeitintensive Anfragen im Unternehmen verhindert und der Administrationsaufwand minimiert. Über die Bestellhistorie ist jederzeit nachvollziehbar, wer welche Unternehmensressourcen oder hierarchischen Rollen wann bestellt, verlängert oder abbestellt hat.
Zu einer IT Shop-Lösung gehören Shops, Regale, Kunden, Produkte. Mehrere Shops können zu Shoppingcentern zusammengefasst werden. Den Regalen werden Unternehmensressourcen als Produkte zugewiesen. Produkte können nach Servicekategorien gruppiert werden. Alle Servicekategorien werden in einem Servicekatalog zusammengefasst. Kunden können im Web Portal Produkte aus dem Servicekatalog auswählen, in einen Einkaufswagen legen und bestellen.
Die folgende Abbildung zeigt ein Beispiel für einen Servicekatalog.
Abbildung 1: Beispiel für einen Servicekatalog
Bestellungen durchlaufen ein definiertes Genehmigungsverfahren, in dem über die Zuweisung der Produkte entschieden wird. Produkte können verlängert oder abbestellt werden. Auch für Verlängerung und Abbestellung können Genehmigungsverfahren festgelegt werden. Für Genehmigungsverfahren werden Entscheidungsrichtlinien definiert. Den Entscheidungsrichtlinien werden Entscheidungsworkflows für Bestellen, Verlängern und Abbestellen von Produkten zugeordnet.
Abbildung 2: Beispiel für einen einfachen Entscheidungsworkflow
Die Produkte werden mit dem Web Portal bestellt, verlängert und abbestellt. Autorisierte Personen haben die Möglichkeit, Bestellungen und Abbestellungen zu genehmigen. Ausführliche Informationen dazu finden Sie im One Identity Manager Anwenderhandbuch für das Web Portal.
In die Einrichtung und den Betrieb eines IT Shops sind folgende Benutzer eingebunden.
Tabelle 1: Benutzer
|
Administratoren für den IT Shop |
Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
- Erstellen die IT Shop-Struktur mit Shops, Regalen, Kunden, Vorlagen und dem Servicekatalog.
- Erstellen die Entscheidungsrichtlinien und Entscheidungsworkflows.
- Legen fest, nach welchen Entscheidungsverfahren die Entscheider ermittelt werden.
- Erstellen die Produkte und Leistungspositionen.
- Richten die Benachrichtigungen für Bestellvorgänge ein.
- Überwachen die Bestellvorgänge.
- Administrieren die Anwendungsrollen für Produkteigner und Attestierer.
- Richten bei Bedarf weitere Anwendungsrollen ein.
- Erstellen Zusatzeigenschaften für beliebige Unternehmensressourcen.
- Bearbeiten Ressourcen und weisen diese an IT Shop-Strukturen und Personen zu.
- Weisen Systemberechtigungen an IT Shop-Strukturen zu.
|
|
Produkteigner |
Die Produkteigner müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
- Entscheiden über Bestellungen.
- Bearbeiten die Leistungspositionen und Servicekategorien, für die sie verantwortlich sind.
|
|
One Identity Manager Administratoren |
-
Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne.
-
Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien. |
|
Genehmiger |
- Genehmigen im Web Portal die Bestellungen.
Die verantwortlichen Genehmiger werden über die Genehmigungsverfahren ermittelt. |
|
Attestierer für Bestellungen |
Die Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
- Attestieren die korrekte Zuweisung von Unternehmensressourcen an die IT Shop-Strukturen, für die sie verantwortlich sind.
- Können die Stammdaten der IT Shop-Strukturen sehen, aber nicht bearbeiten.
HINWEIS: Diese Anwendungsrolle steht zur Verfügung, wenn das Modul Attestierung vorhanden ist. |
|
Zentrale Entscheidergruppe |
Die zentralen Entscheider müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Zentrale Entscheidergruppe zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
- Entscheiden über Bestellungen.
- Weisen Bestellungen anderen Entscheidern zu.
|
In der Standardinstallation des One Identity Manager ist bereits der Shop Identity & Access Lifecycle vorhanden. Der Shop enthält verschiedene Regale, denen Standardprodukte zugewiesen sind. Diese Produkte können Sie nutzen, um beispielsweise Rollenmitgliedschaften oder Gruppenmitgliedschaften zu bestellen oder um Verantwortlichkeiten zu delegieren. Alle aktiven Personen werden automatisch Kunden dieses Shops und sind somit bestellberechtigt.
Sie können den Shop Identity & Access Lifecycle nutzen, um die Standardprodukte zu bestellen. Für die Entscheidung dieser Bestellungen werden Standard-Entscheidungsrichtlinien eingesetzt. Um beliebige andere Unternehmensressourcen bestellen zu können, können Sie den Standardshop um eigene Regale erweitern oder eine eigene IT Shop-Lösung einrichten.
Um den Shop Identity & Access Lifecycle zu nutzen
- Aktivieren Sie im Designer den Konfigurationsparameter QER | ITSHOP.
In der Standardinstallation ist der Konfigurationsparameter aktiviert und der IT Shop ist verfügbar. Ist der Konfigurationsparameter nicht aktiviert, dann aktivieren Sie den Konfigurationsparameter im Designer und kompilieren Sie die Datenbank.
- Installieren und konfigurieren Sie das Web Portal.
Die Produkte werden mit dem Web Portal bestellt, verlängert und abbestellt. Autorisierte Personen haben die Möglichkeit, Bestellungen und Abbestellungen zu genehmigen.
Ausführliche Informationen dazu finden Sie im One Identity Manager Installationshandbuch und im One Identity Manager Anwenderhandbuch für das Web Portal.
Wichtig: Die Kunden dieses Shops werden über eine dynamische Rolle ermittelt. Enthält ein Shop eine große Anzahl Kunden, kann bei Berechnungen im
IT Shop eine hohe Last im
DBQueue Prozessor und damit auf dem Datenbankserver erzeugt werden.
Formulieren Sie die Bedingung für die dynamische Rolle so, dass keinesfalls mehr als 30.000 Personen ermittelt werden! Falls erforderlich, richten Sie eine eigene IT Shop-Lösung mit mehreren Shops und Kundenknoten ein.
Um den Shop Identity & Access Lifecycle kundenspezifisch zu erweitern
- Richten Sie weitere Regale ein.
Weitere Informationen finden Sie unter Bearbeiten des IT Shops.
- Bereiten Sie Unternehmensressourcen zur Bestellung vor.
Weitere Informationen finden Sie unter Vorbereitung der Produkte zur Bestellung.
- Weisen Sie bestellbare Produkte an die Regale zu.
Weitere Informationen finden Sie unter Zuweisen und Entfernen der Produkte.
- Richten Sie Genehmigungsverfahren ein.
In der Standardinstallation sind dem Shop Identity & Access Lifecycle verschiedene Standard-Entscheidungsrichtlinien zugewiesen. Damit durchlaufen die Bestellungen aus diesem Shop vordefinierte Genehmigungsverfahren.
Sie können dem Shop auch eigene Entscheidungsrichtlinien zuweisen. Weitere Informationen finden Sie unter Genehmigungsverfahren für IT Shop-Bestellungen.
- Falls erforderlich, bearbeiten Sie die Bedingung der dynamischen Rolle.
Weitere Informationen finden Sie unter Personen über dynamische Rollen zuweisen. Ausführliche Informationen zum Erstellen der Bedingung finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Um eine eigene IT Shop-Lösung einzurichten
- Aktivieren Sie im Designer den Konfigurationsparameter QER | ITSHOP.
In der Standardinstallation ist der Konfigurationsparameter aktiviert und der IT Shop ist verfügbar. Ist der Konfigurationsparameter nicht aktiviert, dann aktivieren Sie den Konfigurationsparameter im Designer und kompilieren Sie die Datenbank.
- Richten Sie Shops, Regale und Kundenknoten ein.
Weitere Informationen finden Sie unter Bearbeiten des IT Shops.
- Bereiten Sie Unternehmensressourcen zur Bestellung vor.
Weitere Informationen finden Sie unter Vorbereitung der Produkte zur Bestellung.
- Weisen Sie bestellbare Produkte an den IT Shop zu.
Weitere Informationen finden Sie unter Zuweisen und Entfernen der Produkte.
Der One Identity Manager stellt verschiedene Standardprodukte bereit, die über den Shop Identity & Access Lifecycle bestellt werden können. Sie können diese Standardprodukte auch in den eigenen IT Shop aufnehmen.
- Richten Sie Genehmigungsverfahren ein.
Weitere Informationen finden Sie unter Genehmigungsverfahren für IT Shop-Bestellungen.
- Installieren und konfigurieren Sie das Web Portal.
Die Produkte werden mit dem Web Portal bestellt, verlängert und abbestellt. Autorisierte Personen haben die Möglichkeit, Bestellungen und Abbestellungen zu genehmigen.
Ausführliche Informationen dazu finden Sie im One Identity Manager Installationshandbuch und im One Identity Manager Anwenderhandbuch für das Web Portal.
Bestellbare Produkte im IT Shop sind Unternehmensressourcen wie Zielsystemgruppen, Software oder Nicht-IT Ressourcen, sobald sie einem Regal zugewiesen sind. Folgende Unternehmensressourcen können Sie als bestellbare Produkte an Regale zuweisen.
Tabelle 2: Bestellbare Produkte
|
Gruppen kundendefinierter Zielsysteme |
Zielsystem Basismodul |
One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul |
|
Active Directory Gruppen |
Active Directory Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung |
|
SharePoint Gruppen und SharePoint Rollen |
SharePoint Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer SharePoint-Umgebung |
|
IBM Notes Gruppen |
IBM Notes Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer IBM Notes-Umgebung |
|
LDAP Gruppen |
LDAP Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer LDAP-Umgebung |
|
SAP Gruppen, SAP Rollen und SAP Profile |
SAP R/3 Benutzermanagement-Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer SAP R/3-Umgebung |
|
SAP Strukturelle Profile |
Modul SAP R/3 Strukturelle Profile Add-on |
One Identity Manager Administrationshandbuch für das SAP R/3 Strukturelle Profile Add-on |
|
SAP BI Analyseberechtigungen |
Modul SAP R/3 Analyseberechtigungen Add-on |
One Identity Manager Administrationshandbuch für das SAP R/3 Analyseberechtigungen Add-on |
|
E-Business Suite Berechtigungen |
Oracle E-Business Suite Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer Oracle E-Business Suite |
|
Azure Active Directory Gruppen |
Azure Active Directory Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung |
|
Azure Active Directory Administratorrollen |
Azure Active Directory Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung |
|
G Suite Gruppen, G Suite Produkte und SKUs |
G Suite Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer G Suite-Umgebung |
|
Ressourcen |
Identity Management Basismodul |
One Identity Manager Administrationshandbuch für das Identity Management Basismodul |
|
Mehrfach bestellbare Ressourcen |
Identity Management Basismodul |
One Identity Manager Administrationshandbuch für das Identity Management Basismodul |
|
Kontendefinitionen |
Zielsystem Basismodul |
One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul |
|
Systemrollen |
Systemrollenmodul |
One Identity Manager Administrationshandbuch für Systemrollen |
|
Abonnierbare Berichte |
Modul Berichtsabonnement |
One Identity Manager Administrationshandbuch für Berichtsabonnements |
|
Software |
Modul Softwaremanagement |
One Identity Manager Administrationshandbuch für Softwaremanagement |
|
Zuweisungsressourcen |
Identity Management Basismodul
Geschäftsrollenmodul |
Über Zuweisungsressourcen können beliebige Zuweisungen zu hierarchischen Rollen oder die Delegierung von Verantwortlichkeiten über den IT Shop bestellt werden. Weitere Informationen finden Sie unter Zuweisungsbestellung und Delegierung. |
|
Azure Active Directory Gruppen |
Azure Active Directory Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung |
|
Azure Active Directory Administratorrollen |
Azure Active Directory Modul |
One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung |
|
PAM Benutzergruppen |
Privileged Account Governance Modul |
One Identity Manager Administrationshandbuch für die Privileged Account Governance |
|
Kennwortanforderungen |
Privileged Account Governance Modul |
One Identity Manager Administrationshandbuch für die Privileged Account Governance |
|
Remote-Desktop-Sitzungsanforderungen |
Privileged Account Governance Modul |
One Identity Manager Administrationshandbuch für die Privileged Account Governance |
|
SSH-Sitzungsanforderungen |
Privileged Account Governance Modul |
One Identity Manager Administrationshandbuch für die Privileged Account Governance |
|
Telnet-Sitzungsanforderungen |
Privileged Account Governance Modul |
One Identity Manager Administrationshandbuch für die Privileged Account Governance |
Software und Systemrollen können auch für Arbeitsplätze bestellt werden. Dabei wird die UID_Workdesk der Bestellung als zusätzliche Information mitgegeben (PersonWantsOrg.UID_WorkdeskOrdered).
