Chatta subito con l'assistenza
Chat con il supporto

Identity Manager 8.2 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Konfigurationsparameter für die Attestierung

Standard-Entscheidungsverfahren

Um Standard-Entscheidungsverfahren anzuzeigen

  • Wählen Sie die Kategorie Attestierung | Basisdaten zur Konfiguration | Entscheidungsverfahren | Vordefiniert.

Für die Auswahl der verantwortlichen Attestierer sind standardmäßig die nachfolgend aufgeführten Entscheidungsverfahren bereitgestellt.

Tabelle 25: Entscheidungsverfahren für Attestierung

Bezeichnung des Verfahrens

Attestierer

AA - Attestierer der zu attestierenden Rolle

Attestierer der Organisation (Abteilung, Standort, Kostenstelle), Geschäftsrolle oder des IT Shops, wenn Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen attestiert werden.

  • Attestierer für Abteilungen, Kostenstellen und Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
  • Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.
  • Attestierer für Bestellungen müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AD - Attestierer der Abteilung des Empfängers

Attestierer der Abteilung, die dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Abteilungen müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AL - Attestierer des Standorts des Empfängers

Attestierer des Standorts, der dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AM - Manager der verbundenen Person

Manager der Person, die mit dem zu attestierenden Benutzerkonto verbunden ist.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

AN - Attestierer der zu attestierenden Systemberechtigung

Attestierer der Systemberechtigung oder Systemrolle, wenn Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen attestiert werden. Die Attestierer werden über die zugeordnete Leistungsposition ermittelt.

  • Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AO - Attestierer der primären Rolle des Empfängers

Attestierer der Geschäftsrolle, die dem Attestierungsobjekt primär zugeordnet ist.

Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AP - Attestierer der Kostenstelle des Empfängers

Attestierer der Kostenstelle, die dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Kostenstellen müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AR - Attestierer der zu attestierenden Complianceregel

Attestierer der Complianceregel, die attestiert wird.

  • Attestierer müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AS - Entscheider der Attestierungsrichtlinie

Alle Personen, die als Entscheider der Attestierungsrichtlinie zugewiesen sind.

Weitere Informationen finden Sie unter Attestierer über die Attestierungsrichtlinie ermitteln.

AT - Attestierer der zu attestierenden Organisation

Attestierer der Organisation (Abteilung, Standort, Kostenstelle), Geschäftsrolle oder des IT Shops, die/der attestiert wird.

  • Attestierer für Abteilungen, Kostenstellen und Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
  • Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.
  • Attestierer für Bestellungen müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AY - Attestierer der zu attestierenden Unternehmensrichtlinie

Attestierer der Unternehmensrichtlinie, die attestiert wird.

  • Attestierer müssen der Anwendungsrolle Identity & Access Governance | Unternehmensrichtlinien | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

CD - Errechnete Entscheidung

-

Weitere Informationen finden Sie unter Errechnete Entscheidung.

CM - Manager des Empfängers

Manager der Person, die attestiert wird.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

CS - Person selbst

Person, die attestiert wird, selbst.

Weitere Informationen finden Sie unter Attestierte Person als Attestierer ermitteln.

DM - Abteilungsleiter des Empfängers

Manager/Stellvertreter der Abteilung, wenn Personen oder sekundäre Mitgliedschaften in Abteilungen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

EA - Person des Benutzerkontos

Person, die dem zu attestierenden Benutzerkonto zugeordnet ist.

Weitere Informationen finden Sie unter An ein Benutzerkonto zugeordnete Person als Attestierer ermitteln.

ED - Abteilungsleiter bei Attestierung einer Systemberechtigung

Abteilungsleiter der Person, deren Systemberechtigungen attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EM - Manager der Person bei Attestierung einer Systemberechtigung

Manager der Person, deren Systemberechtigungen attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EN - Zielsystemverantwortliche der zu attestierenden Systemberechtigung

Zielsystemverantwortliche der Systemberechtigung, die attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EO - Produkteigner der zu attestierenden Systemberechtigung

Produkteigner, der Systemberechtigung oder der Systemrolle, die attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EX - Extern vorzunehmende Entscheidung

-

Weitere Informationen finden Sie unter Extern vorzunehmende Entscheidung.

KA - Produkteigner und zusätzliche Besitzer der Active Directory Gruppe

Produkteigner und zusätzliche Besitzer der Active Directory Gruppe, wenn Active Directory Gruppen oder Gruppenmitgliedschaften attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

LM - Manager des Standorts

Manager/Stellvertreter des Standorts, wenn Personen oder sekundäre Mitgliedschaften in Standorten attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

MD - Manager der Abteilung der verbundenen Person

Manager der primären Abteilung der Person, die mit dem zu attestierenden Benutzerkonto verbunden ist.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

MO - Manager der Geschäftsrolle

Manager/Stellvertreter der Geschäftsrolle, wenn Personen oder sekundäre Mitgliedschaften in Geschäftsrollen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

OA - Produkteigner

Alle Mitglieder der zugeordneten Anwendungsrolle, wenn Leistungspositionen, Systemberechtigungen oder Systemrollen attestiert werden.

Weitere Informationen finden Sie unter Produkteigner als Attestierer ermitteln.

OM - Manager einer bestimmten Rolle

Manager der im Entscheidungsworkflow festgelegten Rolle.

Weitere Informationen finden Sie unter Attestierer über eine festgelegte Rolle ermitteln.

OP - Eigentümer eines privilegierten Objektes

Alle Personen, die als Eigentümer der bestellten privilegierten Zugriffsanforderung ermittelt werden können.

Weitere Informationen finden Sie unter Eigentümer eines privilegierten Objektes als Attestierer ermitteln.

OR - Mitglieder einer bestimmten Rolle

Alle Personen, die der im Entscheidungsworkflow festgelegten Rolle sekundär zugewiesen sind.

Weitere Informationen finden Sie unter Attestierer über eine festgelegte Rolle ermitteln.

OT - Attestierer der zugeordneten Leistungsposition

Attestierer der Leistungsposition, die dem zu attestierenden Objekt zugeordnet ist.

  • Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Leistungsposition der Attestierungsobjekte ermitteln.

PA - Zusätzlicher Besitzer der Active Directory Gruppe

Alle Personen, die über den zusätzlichen Besitzer der zu attestierenden Active Directory Gruppe ermittelt werden können.

Weitere Informationen finden Sie unter Zusätzlicher Besitzer einer Active Directory Gruppe als Attestierer ermitteln.

PM - Kostenstellenverantwortliche des Empfängers

Verantwortlicher/Stellvertreter der Kostenstelle, wenn sekundäre Mitgliedschaften in Kostenstellen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

PO - Vorgeschlagener Eigentümer

Vorgeschlagener Eigentümer des Attestierungsobjekts

Weitere Informationen finden Sie unter Eigentümer der Attestierungsobjekte als Attestierer ermitteln.

RE - Verantwortlicher der zu attestierenden Systemrolle

Verantwortlicher der Systemrolle, die attestiert wird.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

RM - Manager der Rolle bei Attestierung von Mitgliedschaften

Manager der zu attestierenden Rolle, wenn sekundäre Mitgliedschaften in Rollen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

RR - Manager der Rolle bei Attestierung von Rollen und Zuweisungen an Rollen

Manager der zu attestierenden Rolle.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

SO - Zielsystemverantwortliche der zu attestierenden Berechtigung

Zielsystemverantwortliche der Systemberechtigung oder des Benutzerkontos, das attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

WC - Warten auf andere Entscheidung

-

Weitere Informationen finden Sie unter Warten auf andere Entscheidung.

Attestierer über die Attestierungsrichtlinie ermitteln

Wenn Sie die Attestierer für beliebige Objekte an einer Attestierungsrichtlinie festlegen wollen, nutzen Sie das Entscheidungsverfahren AS. Das Entscheidungsverfahren ermittelt alle Personen, die als Entscheider der Attestierungsrichtlinie zugewiesen sind.

Mit diesem Verfahren können Sie beliebige Objekte durch beliebige, festgelegte Personen attestieren lassen. Diese Personen müssen als Entscheider der Attestierungsrichtlinie zugewiesen sein. Die Attestierer können auch beim Erstellen von Attestierungsrichtlinien im Web Portal angegeben werden. Ausführliche Informationen dazu finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Verwandte Themen

Attestierer über die Rolle der zu attestierenden Person ermitteln

Installierte Module:

Geschäftsrollenmodul (für Entscheidungsverfahren AO)

Wenn Sie Zuweisungen von Unternehmensressourcen zu Ihren Mitarbeitern oder Bestellungen Ihrer Mitarbeiter attestieren wollen, nutzen Sie die Entscheidungsverfahren AD, AL, AO oder AP. Die ermittelten Attestierer sind Mitglied der Anwendungsrolle Attestierer.

Attestierungsobjekte sind Personen (Tabelle: Person) oder Empfänger einer Bestellung (Tabelle: PersonWantsOrg). Die Entscheidungsverfahren ermitteln zu jedem Attestierungsobjekt den Attestierer der Rolle (Abteilung, Standort, Geschäftsrolle, Kostenstelle), die dem Attestierungsobjekt primär zugeordnet ist. Ist der primär zugeordneten Rolle kein Attestierer direkt zugeordnet, ermittelt das Entscheidungsverfahren den Attestierer übergeordneter Rollen. Wird auch auf diesem Weg kein Attestierer gefunden, wird der Attestierungsvorgang dem Attestierer der zugehörigen Rollenklasse zur Entscheidung vorgelegt.

Hinweis: Wenn die Attestierer über das Entscheidungsverfahren AO ermittelt werden und für die Geschäftsrollen Bottom-Up-Vererbung festgelegt ist, beachten Sie Folgendes:

  • Wenn der primär zugeordneten Geschäftsrolle kein Attestierer zugeordnet ist, werden die Attestierer der untergeordneten Geschäftsrolle ermittelt.

Verwandte Themen

Attestierer über Attestierungsobjekte ermitteln

Wenn Sie die Gültigkeit von Complianceregeln, Regelverletzungen, Unternehmensrichtlinien, Richtlinienverletzungen oder Abteilungen, Standorten, Kostenstellen oder Geschäftsrollen attestieren wollen, nutzen Sie die Entscheidungsverfahren AR, AY oder AT. Das Verfahren AT eignet sich auch, um Zuweisungen an IT Shop-Strukturen (Shops, Shoppingcenter oder Regale) zu attestieren. Um Zuweisungen von Systemberechtigungen oder Systemrollen zu Abteilungen, Standorten, Kostenstellen, Geschäftsrollen oder IT Shop-Strukturen zu attestieren, nutzen Sie die Entscheidungsverfahren AA oder AN. Die ermittelten Attestierer sind Mitglied der Anwendungsrolle Attestierer.

 

Basisobjekte der Attestierung

Verfügbar im Modul

AR

Regeln (ComplianceRule)

Regelverletzungen (PersonInNonCompliance)

Modul Complianceregeln

AY

Unternehmensrichtlinien (QERPolicy)

Richtlinienverletzungen (QERPolicyHasObject)

Modul Unternehmensrichtlinien

AT

Abteilungen (Department)

IT Shop Strukturen (ITShopOrg)

Standorte (Locality)

Geschäftsrollen (Org)

Kostenstellen (ProfitCenter)

IT Shop Vorlagen (ITShopSrc)

 

AA, AN

Zuweisungen von Systemberechtigungen oder Zielsystemgruppen an Rollen (<BaseTree>HasUNSGroupB,

<BaseTree>HasADSGroup, <BaseTree>HasEBSResp, ...)

Zuweisungen von Systemrollen an Rollen (<BaseTree>HasESet)

Zielsystem Basismodul

Die Entscheidungsverfahren ermitteln den Attestierer, der dem Attestierungsobjekt zugeordnet ist. Das Entscheidungsverfahren AA ermittelt den Attestierer über die Rolle (Abteilungen, Standorte, Geschäftsrollen, Kostenstellen) oder IT Shop Strukturen (IT Shop Vorlagen). Das Entscheidungsverfahren AN ermittelt den Attestierer über die Leistungsposition, die der Systemberechtigung beziehungsweise Zielsystemgruppe zugeordnet ist.

Für die Entscheidungsverfahren AT und AA gilt darüber hinaus: Ist dem Attestierungsobjekt kein Attestierer direkt zugeordnet, ermittelt das Entscheidungsverfahren den Attestierer übergeordneter Rollen/IT Shop Strukturen. Wird auch auf diesem Weg kein Attestierer gefunden, wird der Attestierungsvorgang dem Attestierer der zugehörigen Rollenklasse zur Entscheidung vorgelegt.

Hinweis: Wenn das Basisobjekt der Attestierung eine Geschäftsrolle oder die Zuweisung an eine Geschäftsrolle ist und für die zugehörige Rollenklasse Bottom-Up-Vererbung festgelegt ist, beachten Sie Folgendes:

  • Ist dem Attestierungsobjekt kein Attestierer direkt zugeordnet, ermittelt das Entscheidungsverfahren den Attestierer untergeordneter Rollen.

Verwandte Themen
Related Documents

The document was helpful.

Seleziona valutazione

I easily found the information I needed.

Seleziona valutazione