Attestierung von Anwendungsrollen
Wenn Sie die Standard-Attestierungsrichtline Attestierung von Mitgliedschaften in Anwendungsrollen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung von Mitgliedschaften in Anwendungsrollen erstellt haben, können Sie den automatischen Entzug der Anwendungsrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | AERoleMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person Mitglied in der Anwendungsrolle wurde.
Tabelle 48: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung
QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDirectRole |
Die sekundäre Mitgliedschaft der Person in der Anwendungsrolle wird entfernt.
Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat. Mitgliedschaften in dynamischen Rollen werden dadurch nicht entfernt. |
QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveRequestedRole |
Hat die Person die Anwendungsrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.
Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat.
Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen. |
QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDelegatedRole |
Wurde die Anwendungsrolle an die Person delegiert, wird die Delegierung abgebrochen oder abbestellt.
Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat.
Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen. |
QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDynamicRole |
Die Person wird aus der dynamischen Rolle der Anwendungsrolle ausgeschlossen.
Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat. Auf anderem Weg entstandene Mitgliedschaften in der Anwendungsrolle werden dadurch nicht entfernt |
Attestierung von Geschäftsrollen
Installierte Module: |
Geschäftsrollenmodul |
Wenn Sie die Standard-Attestierungsrichtline Attestierung von Mitgliedschaften in Geschäftsrollen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung von Mitgliedschaften in Geschäftsrollen erstellt haben, können Sie den automatischen Entzug der Geschäftsrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | RoleMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person Mitglied in der Geschäftsrolle wurde.
Tabelle 49: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung
QER | Attestation | AutoRemovalScope | RoleMembership | RemoveDirectRole |
Die sekundäre Mitgliedschaft der Person in der Geschäftsrolle wird entfernt.
Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat. Mitgliedschaften in dynamischen Rollen werden dadurch nicht entfernt! |
QER | Attestation | AutoRemovalScope | RoleMembership | RemoveRequestedRole |
Hat die Person die Geschäftsrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.
Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat.
Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen. |
QER | Attestation | AutoRemovalScope | RoleMembership | RemoveDelegatedRole |
Wurde die Geschäftsrolle an die Person delegiert, wird die Delegierung abgebrochen oder abbestellt.
Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat.
Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen. |
QER | Attestation | AutoRemovalScope | RoleMembership | RemoveDynamicRole |
Die Person wird aus der dynamischen Rolle der Geschäftsrolle ausgeschlossen.
Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat. Auf anderem Weg entstandene Mitgliedschaften in der Geschäftsrolle werden dadurch nicht entfernt. |
Attestierung und Rezertifizierung von Benutzern
Über die Attestierungsfunktion des One Identity Manager können die Stammdaten von Personen sowie deren Zielsystemberechtigungen und Zuweisungen regelmäßig überprüft und autorisiert werden. Darüber hinaus stellt der One Identity Manager Standardverfahren bereit, über welche die Stammdaten von One Identity Manager Benutzern, die neu in die One Identity Manager-Datenbank aufgenommen wurden, zeitnah durch deren Manager attestiert und zertifiziert werden. Diese Funktionalität kann beispielsweise genutzt werden, wenn externen Mitarbeitern zeitweilig Zugang zum One Identity Manager gewährt werden soll. Für interne und externe Personen gelten jeweils unterschiedliche Abläufe.
Über zeitgesteuerte Aufträge kann eine regelmäßige Rezertifizierung durchgeführt werden.
Im Rahmen der Attestierung kann ein Manager die Personenstammdaten des zu zertifizierenden Benutzers prüfen und bei Bedarf aktualisieren. Für Attestierungen nutzen Sie das Web Portal.
Detaillierte Informationen zum Thema
One Identity Manager Benutzer für die Attestierung und Rezertifizierung von Benutzern
In die Attestierung und Rezertifizierung von Personen sind folgende Benutzer eingebunden.
Tabelle 50: Benutzer
Personenadministratoren |
Personenadministratoren müssen der Anwendungsrolle Identity Management | Personen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Bearbeiten die Stammdaten aller Personen.
-
Ordnen den Personen Manager zu.
-
Weisen Unternehmensressourcen an die Personen zu.
-
Überprüfen und autorisieren die Stammdaten von Personen.
-
Erstellen und bearbeiten Risikoindex-Berechnungsvorschriften.
-
Bearbeiten Kennwortrichtlinien für Kennwörter von Personen.
-
Können Sicherheitsschlüssel (Webauthn) von Personen löschen.
-
Können im Web Portal die Bestellungen und Delegierungen aller Personen sehen und Delegierungen bearbeiten. |
Manager |
- Prüfen die Personenstammdaten der zu zertifizierenden internen Benutzer.
- Aktualisieren bei Bedarf die Personenstammdaten.
- Ordnen gegebenenfalls einen anderen Manager zu.
- Attestieren die Stammdaten.
|
Attestierer für externe Benutzer |
Die Attestierer für externe Benutzer müssen der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Administratoren für Attestierungsvorgänge |
Administratoren für die Attestierungsvorgänge müssen der Anwendungsrolle Identity & Access Governance | Attestierung | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Web Portal Benutzer |
- Registrieren sich am Web Portal und erfassen ihre Stammdaten.
|
Selbstregistrierte Personen |
Externen Personen, die sich im Web Portal selbst registriert haben, werden über eine dynamische Rolle an die Anwendungsrolle Basisrollen | Selbstregistrierte Personen zugewiesen.
Benutzer mit dieser Anwendungsrolle:
- Legen ihr Kennwort und die Kennwortfrage für die Anmeldung an den One Identity Manager-Werkzeugen fest.
|