Chatta subito con l'assistenza
Chat con il supporto

Identity Manager 8.2 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Konfigurationsparameter für die Attestierung

An ein Benutzerkonto zugeordnete Person als Attestierer ermitteln

Wenn Sie Benutzerkonten durch die ihnen zugeordnete Person attestieren lassen wollen, nutzen Sie das Entscheidungsverfahren EA. Dieses Entscheidungsverfahren kann genutzt werden, wenn das Zielsystem Basismodul installiert ist.

Attestierte Person als Attestierer ermitteln

Eine Person kann die Richtigkeit der eigenen Stammdaten attestieren, beispielsweise um zu bestätigen, dass diese korrekt erfasst sind. Nutzen Sie dafür das Entscheidungsverfahren CS. Das Basisobjekt der Attestierung sind Personen. Das Entscheidungsverfahren wird standardmäßig genutzt, um Manager an Personen zuzuweisen, denen kein Personenmanager zugeordnet ist (Attestierungsrichtlinie Attestierung der initialen Managerzuordnung).

Errechnete Entscheidung

Hinweis: Pro Entscheidungsebene kann nur ein Entscheidungsschritt mit dem Entscheidungsverfahren CD definiert werden.

Wenn Sie den Verlauf einer Attestierung von bestimmten Bedingungen abhängig machen wollen, nutzen Sie das Entscheidungsverfahren CD. Dieses Verfahren ermittelt keine Attestierer. Der One Identity Manager trifft die Entscheidung abhängig von der Bedingung, die im Entscheidungsschritt formuliert ist.

Das Verfahren können Sie für beliebige Basisobjekte der Attestierung anwenden. Im Entscheidungsschritt erstellen Sie eine Bedingung. Liefert die Bedingung ein Ergebnis, wird der Entscheidungsschritt durch den One Identity Manager genehmigt. Liefert die Bedingung kein Ergebnis, wird der Entscheidungsschritt durch den One Identity Manager abgelehnt. Folgen darauf keine weiteren Entscheidungsschritte wird der Attestierungsvorgang endgültig genehmigt oder abgelehnt.

Um eine Bedingung für das Entscheidungsverfahren CD zu erfassen

  1. Bearbeiten Sie die Eigenschaften des Entscheidungsschritts.

    Weitere Informationen finden Sie unter Entscheidungsebenen bearbeiten.

  2. Erfassen Sie im Eingabefeld Bedingungeine gültige Where-Klausel für Datenbankabfragen. Sie können diese direkt als SQL-Abfrage eingeben oder über einen Assistenten zusammenstellen.

Beispiel für einen einfachen Entscheidungsworkflow mit Entscheidungsverfahren CD

Externe Personen sollen durch ihren Manager attestiert werden. Wenn kein Manager zugewiesen ist, sollen die Mitglieder einer festgelegten Anwendungsrolle die Personen attestieren.

Mit dem Entscheidungsverfahren CD und der folgenden Bedingung ermitteln Sie alle externen Personen, denen ein Manager zugeordnet ist.

EXISTS

(SELECT 1 FROM

(SELECT xobjectkey FROM Person WHERE (IsExternal = 1)

AND (EXISTS

(SELECT 1 FROM

(SELECT UID_Person FROM Person WHERE 1 = 1) as X

WHERE X.UID_Person = Person.UID_PersonHead) )) as X

WHERE X.xobjectkey = AttestationCase.ObjectKeyBase)

Ist die Bedingung erfüllt, soll der Manager der externen Person die Person attestieren. Dafür ergänzen Sie im positiven Entscheidungspfad einen Entscheidungsschritt mit dem Entscheidungsverfahren CM.

Ist die Bedingung nicht erfüllt, sollen die Mitglieder einer festgelegten Anwendungsrolle die Person attestieren. Dafür ergänzen Sie im negativen Entscheidungspfad einen Entscheidungsschritt mit dem Entscheidungsverfahren OR und ordnen die Anwendungsrolle zu.

Extern vorzunehmende Entscheidung

Wenn die Attestierung ausgeführt werden soll, sobald ein definiertes Ereignis außerhalb des One Identity Manager eintritt, nutzen Sie die extern vorzunehmende Entscheidung (Entscheidungsverfahren EX). Sie können dieses Verfahren auch nutzen, um beliebige Objekte durch Personen attestieren zu lassen, die keinen Zugriff auf den One Identity Manager haben.

Im Entscheidungsschritt legen Sie ein Ereignis fest, das eine externe Entscheidung auslöst. Durch das Ereignis wird ein Prozess angestoßen, der die externe Entscheidung für den Attestierungsvorgang initiiert und das Ergebnis der Entscheidung auswertet. Das Genehmigungsverfahren wartet, bis das Ergebnis der externen Entscheidung an den One Identity Manager übermittelt wird. Abhängig von dieser Entscheidung definieren Sie weitere Entscheidungsschritte.

Um das Entscheidungsverfahren nutzen zu können

  1. Definieren Sie eigene Prozesse, die

    • eine externe Entscheidung auslösen,

    • die Ergebnisse der externen Entscheidung auswerten und

    • die daraufhin den externen Entscheidungsschritt im One Identity Manager positiv oder negativ entscheiden.

  2. Definieren Sie ein Ereignis, das den Prozess für die externe Entscheidung startet. Erfassen Sie das Ereignis im Entscheidungsschritt im Eingabefeld Ereignis.

Ist das externe Ereignis eingetreten, muss der Status des Entscheidungsschrittes im One Identity Manager geändert werden. Nutzen Sie dafür die Prozessfunktion CallMethod mit der Methode MakeDecision. Übergeben Sie der Prozessfunktion folgende Parameter:

MethodName: Value = "MakeDecision"

ObjectType: Value = "AttestationCase"

Param1: Value = "sa"

Param2: Value = <Entscheidung> ("true" = zugestimmt; "false" = abgelehnt)

Param3: Value = <Begründung der Entscheidung>

Param4: Value = <Standardbegründung>

Param5: Value = <Nummer des Entscheidungsschritts> (PWODecisionStep.SubLevelNumber)

WhereClause: Value = "UID_AttestationCase ='"& $UID_AttestationCase$ &"'"

Durch die Parameter legen Sie fest, welcher Attestierungsvorgang durch die externe Entscheidung entschieden werden soll (WhereClause). Der Parameter Param1 legt den Attestierer fest. Attestierer ist immer der Systembenutzer sa. Mit dem Parameter Param2 wird die Entscheidung übergeben. Wurde der Attestierung zugestimmt, muss der Wert True übergeben werden. Wurde die Attestierung abgelehnt, muss der Wert False übergeben werden. Über den Parameter Param3 übergeben Sie einen Begründungstext für die Entscheidung; über den Parameter Param4 können Sie eine vorformulierte Standardbegründung übergeben. Wenn in einer Entscheidungsebene mehrere externe Entscheidungsschritte definiert wurden, übergeben Sie im Parameter Param5 die Nummer des Entscheidungsschritts. Damit kann die Entscheidung dem korrekten Entscheidungsschritt zugeordnet werden.

Prozesse definieren und bearbeiten Sie mit dem Prozesseditor.

Beispiel

Alle Complianceregeln sollen durch einen externen Gutachter geprüft und attestiert werden. Die Informationen über die Attestierungsobjekte sollen als PDF-Bericht auf einem externen Share bereitgestellt werden. Das Ergebnis der Attestierung soll der externe Gutachter in einer Textdatei auf dem externen Share ablegen. Nutzen Sie das Entscheidungsverfahren für extern vorzunehmende Entscheidungen und definieren Sie:

  • einen Prozess "P1", der einen PDF-Report mit den Informationen über die Attestierungsobjekte und den Attestierungsvorgang auf einem externen Share ablegt
  • ein Ereignis "E1", das den Prozess "P1" auslöst

    Das Ereignis "E1" tragen Sie im Entscheidungsschritt im Eingabefeld Ereignis und im Prozess "P1" als auslösendes Ereignis für die externe Entscheidung ein.

  • einen Prozess "P2", der das externe Share auf neue Textdateien überprüft, den Inhalt der Textdatei auswertet und im One Identity Manager die Funktion CallMethod mit der Methode MakeDecision aufruft
  • ein Ereignis "E2", das den Prozess "P2" auslöst
  • einen Zeitplan, der regelmäßig das Ereignis "E2" auslöst

Ausführliche Informationen über die Erstellung von Prozessen finden Sie im One Identity Manager Konfigurationshandbuch. Ausführliche Informationen zur Einrichtung von Zeitplänen finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Seleziona valutazione

I easily found the information I needed.

Seleziona valutazione