Das Entscheidungsverfahren PW ermittelt die Eigentümer der ausgeführten Attestierungsrichtlinie als Attestierer. Das Entscheidungsverfahren kann somit für die Attestierung beliebiger Objekte eingesetzt werden. Es wird genutzt, um in Genehmigungsverfahren einen zusätzlichen Prüfschritt auszuführen. Dabei haben die Eigentümer der Attestierungsrichtlinie die Möglichkeit, die Details des Attestierungslaufs zu prüfen. Weitere Informationen finden Sie unter Phasen der Attestierung.
Hinweis: Pro Entscheidungsebene kann nur ein Entscheidungsschritt mit dem Entscheidungsverfahren CD definiert werden.
Wenn Sie den Verlauf einer Attestierung von bestimmten Bedingungen abhängig machen wollen, nutzen Sie das Entscheidungsverfahren CD. Dieses Verfahren ermittelt keine Attestierer. Der One Identity Manager trifft die Entscheidung abhängig von der Bedingung, die im Entscheidungsschritt formuliert ist.
Das Verfahren können Sie für beliebige Basisobjekte der Attestierung anwenden. Im Entscheidungsschritt erstellen Sie eine Bedingung. Liefert die Bedingung ein Ergebnis, wird der Entscheidungsschritt durch den One Identity Manager genehmigt. Liefert die Bedingung kein Ergebnis, wird der Entscheidungsschritt durch den One Identity Manager abgelehnt. Folgen darauf keine weiteren Entscheidungsschritte wird der Attestierungsvorgang endgültig genehmigt oder abgelehnt.
Um eine Bedingung für das Entscheidungsverfahren CD zu erfassen
-
Bearbeiten Sie die Eigenschaften des Entscheidungsschritts.
Weitere Informationen finden Sie unter Entscheidungsebenen bearbeiten.
-
Erfassen Sie im Eingabefeld Bedingungeine gültige Where-Klausel für Datenbankabfragen. Sie können diese direkt als SQL-Abfrage eingeben oder über einen Assistenten zusammenstellen.
Beispiel für einen einfachen Entscheidungsworkflow mit Entscheidungsverfahren CD
Externe Personen sollen durch ihren Manager attestiert werden. Wenn kein Manager zugewiesen ist, sollen die Mitglieder einer festgelegten Anwendungsrolle die Personen attestieren.
Mit dem Entscheidungsverfahren CD und der folgenden Bedingung ermitteln Sie alle externen Personen, denen ein Manager zugeordnet ist.
EXISTS
(SELECT 1 FROM
(SELECT xobjectkey FROM Person WHERE (IsExternal = 1)
AND (EXISTS
(SELECT 1 FROM
(SELECT UID_Person FROM Person WHERE 1 = 1) as X
WHERE X.UID_Person = Person.UID_PersonHead) )) as X
WHERE X.xobjectkey = AttestationCase.ObjectKeyBase)
Ist die Bedingung erfüllt, soll der Manager der externen Person die Person attestieren. Dafür ergänzen Sie im positiven Entscheidungspfad einen Entscheidungsschritt mit dem Entscheidungsverfahren CM.
Ist die Bedingung nicht erfüllt, sollen die Mitglieder einer festgelegten Anwendungsrolle die Person attestieren. Dafür ergänzen Sie im negativen Entscheidungspfad einen Entscheidungsschritt mit dem Entscheidungsverfahren OR und ordnen die Anwendungsrolle zu.
Wenn die Attestierung ausgeführt werden soll, sobald ein definiertes Ereignis außerhalb des One Identity Manager eintritt, nutzen Sie die extern vorzunehmende Entscheidung (Entscheidungsverfahren EX). Sie können dieses Verfahren auch nutzen, um beliebige Objekte durch Personen attestieren zu lassen, die keinen Zugriff auf den One Identity Manager haben.
Im Entscheidungsschritt legen Sie ein Ereignis fest, das eine externe Entscheidung auslöst. Durch das Ereignis wird ein Prozess angestoßen, der die externe Entscheidung für den Attestierungsvorgang initiiert und das Ergebnis der Entscheidung auswertet. Das Genehmigungsverfahren wartet, bis das Ergebnis der externen Entscheidung an den One Identity Manager übermittelt wird. Abhängig von dieser Entscheidung definieren Sie weitere Entscheidungsschritte.
Um das Entscheidungsverfahren nutzen zu können
-
Definieren Sie im Designer eigene Prozesse, die
-
eine externe Entscheidung auslösen,
-
die Ergebnisse der externen Entscheidung auswerten und
-
die daraufhin den externen Entscheidungsschritt im One Identity Manager positiv oder negativ entscheiden.
-
Definieren Sie ein Ereignis, das den Prozess für die externe Entscheidung startet. Erfassen Sie das Ereignis im Entscheidungsschritt im Eingabefeld Ereignis.
Ist das externe Ereignis eingetreten, muss der Status des Entscheidungsschrittes im One Identity Manager geändert werden. Nutzen Sie dafür die Prozessfunktion CallMethod mit der Methode MakeDecision. Übergeben Sie der Prozessfunktion folgende Parameter:
MethodName: Value = "MakeDecision"
ObjectType: Value = "AttestationCase"
Param1: Value = "sa"
Param2: Value = <Entscheidung> ("true" = zugestimmt; "false" = abgelehnt)
Param3: Value = <Begründung der Entscheidung>
Param4: Value = <Standardbegründung>
Param5: Value = <Nummer des Entscheidungsschritts> (PWODecisionStep.SubLevelNumber)
WhereClause: Value = "UID_AttestationCase ='"& $UID_AttestationCase$ &"'"
Durch die Parameter legen Sie fest, welcher Attestierungsvorgang durch die externe Entscheidung entschieden werden soll (WhereClause). Der Parameter Param1 legt den Attestierer fest. Attestierer ist immer der Systembenutzer sa. Mit dem Parameter Param2 wird die Entscheidung übergeben. Wurde der Attestierung zugestimmt, muss der Wert True übergeben werden. Wurde die Attestierung abgelehnt, muss der Wert False übergeben werden. Über den Parameter Param3 übergeben Sie einen Begründungstext für die Entscheidung; über den Parameter Param4 können Sie eine vorformulierte Standardbegründung übergeben. Wenn in einer Entscheidungsebene mehrere externe Entscheidungsschritte definiert wurden, übergeben Sie im Parameter Param5 die Nummer des Entscheidungsschritts. Damit kann die Entscheidung dem korrekten Entscheidungsschritt zugeordnet werden.
Beispiel
Alle Complianceregeln sollen durch einen externen Gutachter geprüft und attestiert werden. Die Informationen über die Attestierungsobjekte sollen als PDF-Bericht auf einem externen Share bereitgestellt werden. Das Ergebnis der Attestierung soll der externe Gutachter in einer Textdatei auf dem externen Share ablegen. Nutzen Sie das Entscheidungsverfahren für extern vorzunehmende Entscheidungen und definieren Sie:
Ausführliche Informationen über die Erstellung von Prozessen finden Sie im One Identity Manager Konfigurationshandbuch. Ausführliche Informationen zur Einrichtung von Zeitplänen finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.
Detaillierte Informationen zum Thema
Hinweis: Pro Entscheidungsebene kann nur ein Entscheidungsschritt mit dem Entscheidungsverfahren WC definiert werden.
Wenn Sie sicherstellen wollen, dass ein definierter Datenzustand im One Identity Manager eingetreten ist, bevor ein Attestierungsvorgang endgültig entschieden wird, nutzen Sie das Entscheidungsverfahren WC. Durch eine Bedingung legen Sie fest, welche Voraussetzungen erfüllt sein müssen, damit eine Attestierung ausgeführt werden kann. Die Bedingung wird als Funktionsaufruf ausgewertet. Die Funktion muss als Parameter die UID des Attestierungsvorgangs (AttestationCase.UID_AttestationCase) akzeptieren. Über diese UID nehmen Sie auf das Attestierungsobjekt Bezug. Die Funktion muss drei Rückgabewerte als Integer-Werte definieren. Abhängig vom Rückgabewert der Funktion wird eine der folgenden Aktionen ausgeführt.
Tabelle 29: Rückgabewerte für verzögerte Entscheidungen
Rückgabewert > 0 |
Die Bedingung ist erfüllt. Die verzögerte Entscheidung ist erfolgreich abgeschlossen. Der nächste Entscheidungsschritt (für den Erfolgsfall) wird ausgeführt. |
Rückgabewert = 0 |
Die Bedingung ist noch nicht erfüllt. Die Entscheidung wird zurückgestellt und beim nächsten Lauf des DBQueue Prozessors erneut geprüft. |
Rückgabewert < 0 |
Die Bedingung ist nicht erfüllt. Die verzögerte Entscheidung ist erfolglos abgeschlossen. Der nächste Entscheidungsschritt (für den Fehlerfall) wird ausgeführt. |
Um das Entscheidungsverfahren nutzen zu können
-
Erstellen Sie eine Datenbankfunktion, welche die Bedingung für die Attestierung prüft.
-
Erstellen Sie einen Entscheidungsschritt mit dem Entscheidungsverfahren WC. Erfassen Sie im Eingabefeld Bedingung den Funktionsaufruf.
Syntax: dbo.<Funktionsname>
-
Legen Sie einen Entscheidungsschritt für den Erfolgsfall fest. Verwenden Sie ein Entscheidungsverfahren, mit dem der One Identity Manager die Attestierer ermitteln kann.
-
Legen Sie bei Bedarf einen Entscheidungsschritt für den Fehlerfall fest.