サポートと今すぐチャット
サポートとのチャット

Identity Manager 9.2 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops IT Shop mit dem Application Governance Modul nutzen Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Leistungspositionen erfassen Servicekategorien erfassen Produktspezifische Bestelleigenschaften erfassen Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Nutzungsbedingungen erfassen Schlagworte erfassen
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellungen Delegierungen Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Systemberechtigungen automatisch in den IT Shop aufnehmen Ungenutzte Anwendungsrollen für Produkteigner löschen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien für Bestellungen Entscheidungsworkflows für Bestellungen Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Entscheiden von Bestellungen eines Entscheiders Bestellungen automatisch entscheiden Entscheidungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Bestellungen Weitere Informationen zur Bestellung einholen Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung
Überblick über Bestellungen Mehrfache Bestellungen eines Produktes Zeitlich begrenzte Bestellungen Umzug des Kunden oder des Produkts in einen anderen Shop Änderung des Entscheidungsworkflows bei offenen Bestellungen Bestellungen für Mitarbeiter Managerwechsel für Mitarbeiter bestellen Bestellungen stornieren Produkte abbestellen Benachrichtigungen im Bestellprozess Entscheidung per E-Mail Entscheidung über adaptive Karten Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften Bestellungen von dauerhaft deaktivierten Identitäten Bestellungen und Stellvertretungen löschen
Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Umstrukturieren des IT Shop Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Produktpakete Empfehlungen und Hinweise zum Transportieren von IT Shop Bestandteilen mit dem Database Transporter
Beheben von Fehlern im IT Shop Konfigurationsparameter für IT Shop Status von Bestellungen Beispiele für das Ergebnis von Bestellungen

Kriterien für Entscheidungsempfehlungen für Bestellungen

Die folgenden Kriterien werden berücksichtigt, wenn Empfehlungen für die Entscheidung von Bestellungen ermittelt werden.

  1. Peer-Gruppen-Faktor

    Es wird ermittelt, wie viele Identitäten einer Peer-Gruppe das bestellte Produkt bereits besitzen. Wenn diese Anzahl einen definierten Schwellwert übersteigt, wird die Genehmigung empfohlen. Der Schwellwert wird im Konfigurationsparameter QER | ITShop | Recommendation | PeerGroupThreshold festgelegt.

    Als Peer-Gruppe werden alle Identitäten zusammengefasst, die denselben Manager haben oder die derselben primären oder sekundären Abteilung angehören, wie der Empfänger der Bestellung. Welche Identitäten zu einer Peer-Gruppe zusammengefasst werden, wird über Konfigurationsparameter festgelegt. Es muss mindestens einer der folgenden Konfigurationsparameter aktiviert sein.

    • QER | ITShop | PeerGroupAnalysis | IncludeManager: Identitäten, die denselben Manager haben, wie der Empfänger der Bestellung

    • QER | ITShop | PeerGroupAnalysis | IncludePrimaryDepartment: Identitäten, die derselben primären Abteilung angehören, wie der Empfänger der Bestellung

    • QER | ITShop | PeerGroupAnalysis | IncludeSecondaryDepartment: Identitäten, deren sekundäre Abteilung der primären oder sekundären Abteilung des Empfängers der Bestellung entspricht

  2. Zugewiesener Unternehmensbereich

    Es wird überprüft, ob dem bestellten Produkt und der primären Abteilung des Bestellempfängers der selbe Unternehmensbereich zugewiesen ist.

  3. Verletzung von Complianceregeln

    Es wird überprüft, ob der Empfänger der Bestellung bei Genehmigung seiner Bestellung bestehende Complianceregeln verletzen würde. Sobald eine Regelverletzung erkannt wird, wird die Ablehnung der Bestellung empfohlen.

  4. Risikofaktor

    Es wird der Risikoindex des Empfängers der Bestellung ermittelt. Dabei wird der Risikoindex des bestellten Produkts bereits berücksichtigt. Wenn dieser Risikoindex einen definierten Schwellwert übersteigt, wird die Ablehnung empfohlen. Der Schwellwert wird im Konfigurationsparameter QER | ITShop | Recommendation | RiskIndexThreshold festgelegt.

  5. Genehmigungsrate

    Es wird der Anteil an Genehmigungen für das bestellte Produkt in früheren Bestellungen ermittelt. Dafür werden im Entscheidungsverlauf (PWODecisionHistory) alle Entscheidungsverfahren mit manuellen Entscheidungen ermittelt, die auch in dem aktuell ausgeführten Entscheidungsworkflow eingesetzt werden. Aus diesen Einträgen im Entscheidungsverlauf wird der Anteil an Genehmigungen für dasselbe Produkt ermittelt.

    Wenn die Genehmigungsrate einen definierten Schwellwert übersteigt, wird die Genehmigung empfohlen. Der Schwellwert wird im Konfigurationsparameter QER | ITShop | Recommendation | ApprovalRateThreshold festgelegt.

  6. Zuweisungsrate

    Es wird die Anzahl der Zuweisungen von Unternehmensressourcen an den Empfänger der Bestellung ermittelt (aus PersonHasObject) und mit der durchschnittlichen Anzahl pro Identität verglichen. Wenn die Zuweisungsrate kleiner als der Durchschnitt pro Identität ist, wird die Ablehnung empfohlen.

Empfehlung zur Genehmigung

Alle Kriterien sind erfüllt. Das heißt:

  • Die Peer-Gruppe hat Mitglieder und der Peer-Gruppen-Faktor ist größer als der Schwellwert (PeerGroupThreshold).

  • Bestelltes Produkt und primäre Abteilung des Bestellempfängers gehören zum selben Unternehmensbereich. Das Produkt ist somit nicht funktionsfremd.

  • Es gibt keine Regelverletzungen.

  • Der Risikoindex des Bestellempfängers ist kleiner als der Schwellwert (RiskIndexThreshold).

  • Die Genehmigungsrate ist größer als der Schwellwert (ApprovalRateThreshold).

  • Die Zuweisungsrate ist größer als der Durchschnitt.

Empfehlung zur Ablehnung

Mindestens eins der folgenden Kriterien gilt.

  • Die Peer-Gruppe hat keine Mitglieder oder der Peer-Gruppen-Faktor ist kleiner als der Schwellwert (PeerGroupThreshold).

  • Es gibt mindestens eine Regelverletzung.

  • Die Zuweisungsrate ist kleiner als der Durchschnitt.

Wenn mindestens zwei der folgenden Kriterien gelten, wird ebenfalls die Ablehnung empfohlen.

  • Das Produkt ist funktionsfremd.

  • Der Risikoindex des Bestellempfängers ist größer als der Schwellwert (RiskIndexThreshold).

  • Die Genehmigungsrate ist kleiner als der Schwellwert (ApprovalRateThreshold).

In allen anderen Fällen wird keine Empfehlung gegeben.

Verwandte Themen

Entscheidungsempfehlungen für Bestellungen konfigurieren

Um Entscheidungsempfehlungen zu nutzen, fügen Sie in die Entscheidungsworkflows eine zusätzliche Entscheidungsebene ein und konfigurieren Sie die Schwellwerte. Basierend auf der Empfehlung können die Bestellungen automatisch genehmigt werden. Wenn eine Ablehnung empfohlen wird oder keine eindeutige Empfehlung gegeben werden kann, müssen die Bestellungen zusätzlichen Entscheidern vorgelegt werden. Wenn Bestellungen nicht automatisch genehmigt werden sollen, definieren Sie eine manuelle Entscheidungsebene auch für den Fall, dass die Genehmigung empfohlen wird.

Den Entscheidern wird die Entscheidungsempfehlung angezeigt. Sie können der Empfehlung folgen oder unabhängig davon eine eigene Entscheidung treffen.

TIPP: Für Entscheidungsempfehlungen mit automatischer Genehmigung stellt One Identity Manager den Beispielworkflow Manager des Empfängers (mit Entscheidungsempfehlung) bereit. Sie können diesen Entscheidungsworkflow als Vorlage nutzen und an Ihre Erfordernisse anpassen. Kopieren Sie dafür den Workflow und fügen Sie Entscheidungsebenen mit manuellen Entscheidungsschritten hinzu.

Um Entscheidungsempfehlungen zu konfigurieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | PeerGroupAnalysis.

  2. Aktivieren Sie mindestens einen der folgenden Konfigurationsparameter:

    • QER | ITShop | PeerGroupAnalysis | IncludeManager: Identitäten, die denselben Manager haben, wie der Empfänger der Bestellung

    • QER | ITShop | PeerGroupAnalysis | IncludePrimaryDepartment: Identitäten, die derselben primären Abteilung angehören, wie der Empfänger der Bestellung

    • QER | ITShop | PeerGroupAnalysis | IncludeSecondaryDepartment: Identitäten, deren sekundäre Abteilung der primären oder sekundären Abteilung des Empfängers der Bestellung entspricht

    Damit legen Sie fest, welche Identitäten zur Peer-Gruppe gehören. Es können auch zwei oder alle Konfigurationsparameter aktiviert werden.

  3. Legen Sie den Schwellwert für den Peer-Gruppen-Faktor im Konfigurationsparameter QER | ITShop | Recommendation | PeerGroupThreshold fest. Erfassen Sie einen Wert zwischen 0 und 1.

    Der Standardwert ist 0,9. Das heißt, mehr als 90% der Mitglieder der Peer-Gruppe müssen das bestellte Produkt bereits besitzen, damit die Genehmigung empfohlen wird.

  4. Legen Sie den Schwellwert für den Risikofaktor im Konfigurationsparameter QER | ITShop | Recommendation | RiskIndexThreshold fest. Erfassen Sie einen Wert zwischen 0 und 1.

    Der Standardwert ist 0,5. Das heißt, der Risikoindex des Bestellempfängers muss kleiner als 0,5 sein, damit die Genehmigung empfohlen wird.

  5. Legen Sie den Schwellwert für die Genehmigungsrate im Konfigurationsparameter QER | ITShop | Recommendation | ApprovalRateThreshold fest. Erfassen Sie einen Wert zwischen 0 und 1.

    Der Standardwert ist 0,5. Das heißt, wenn mehr als 50% aller früheren Bestellungen dieses Produkts mit denselben Entscheidungsverfahren schon einmal genehmigt wurden, wird die Genehmigung empfohlen.

  6. Erstellen Sie im Manager einen Entscheidungsworkflow und fügen als erste Entscheidungsebene einen Entscheidungsschritt mit folgenden Daten ein:

    • Entscheidungsverfahren: EX

    • Ereignis: RecommendationAnalysis

    Das Ereignis startet den Prozess QER_PersonWantsOrg_Recommendation, welcher das Skript QER_PersonWantsOrg_Recommendation ausführt. Das Skript führt eine automatische Entscheidung aus.

  7. Fügen Sie eine Entscheidungsebene zur manuellen Entscheidung ein.

  8. Für den Fall, dass die Ablehnung empfohlen wird oder keine Empfehlung gegeben werden kann, verbinden Sie diese Entscheidungsebene mit dem Verbindungspunkt für Ablehnung an der ersten Entscheidungsebene.

  9. (Optional) Wenn die Bestellung nicht automatisch genehmigt werden soll, verbinden Sie den Verbindungspunkt für Genehmigung an der ersten Entscheidungsebene ebenfalls mit einer Entscheidungsebene zur manuellen Entscheidung. Damit müssen Bestellungen auch dann manuell entschieden werden, wenn die Genehmigung empfohlen wird.

  10. Erstellen Sie eine Entscheidungsrichtlinie und ordnen Sie diesen Entscheidungsworkflow zu.

    • Verwenden Sie diese Entscheidungsrichtlinie im IT Shop.

Verwandte Themen

Weitere Informationen zur Bestellung einholen

Ein Entscheider hat die Möglichkeit weitere Informationen zu einer Bestellung einzuholen. Diese Nachfragemöglichkeit ersetzt jedoch nicht die Genehmigung oder Ablehnung einer Bestellung. Zur Informationseinholung ist kein zusätzlicher Entscheidungsschritt in einem Entscheidungsworkflow erforderlich.

Der Entscheider kann eine Anfrage an jede beliebige Identität stellen. Die Bestellung erhält für den Zeitpunkt der Anfrage einen Hold-Status. Sobald die angefragte Identität die benötigten Informationen geliefert hat und der Entscheider die Bestellung entschieden hat, wird der Hold-Status der Bestellung wieder aufgehoben. Der Entscheider kann eine offene Anfrage jederzeit zurückrufen. Der Hold-Status wird dadurch aufgehoben. Die Anfrage des Entscheiders und die Antwort der angefragten Identität werden im Entscheidungsverlauf aufgezeichnet und stehen somit dem Entscheider zur Verfügung.

Hinweis: Wenn der Entscheider, der eine Anfrage gestellt hat, als Entscheider entfällt, wird der Hold-Status aufgehoben. Die angefragte Identität muss nicht mehr antworten. Der Bestellvorgang wird fortgesetzt.

Ausführliche Informationen finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Detaillierte Informationen zum Thema

Andere Entscheider beauftragen

Sobald eine Entscheidungsebene im Entscheidungsverlauf erreicht ist, können die Entscheider dieser Entscheidungsebene eine andere Identität mit der Entscheidung beauftragen. Dafür stehen folgende Möglichkeiten zur Verfügung.

  • Entscheidung umleiten

    Der Entscheider beauftragt eine andere Entscheidungsebene mit der Entscheidung. Erstellen Sie dafür im Entscheidungsworkflow eine Verbindung zu der Entscheidungsebene, an die eine Entscheidung umgeleitet werden kann.

  • Zusätzlichen Entscheider beauftragen

    Der Entscheider beauftragt eine weitere Identität mit der Entscheidung. Der weitere Entscheider muss zusätzlich zu den bereits ermittelten Entscheidern entscheiden. Aktivieren Sie dafür am Entscheidungsschritt die Option Zusätzliche Entscheider erlaubt.

    Der zusätzliche Entscheider kann die Entscheidung verweigern und die Bestellung an den ursprünglichen Entscheider zurückgeben. Der ursprüngliche Entscheider wird darüber per E-Mail informiert. Der ursprüngliche Entscheider kann einen anderen zusätzlichen Entscheider beauftragen.

  • Entscheidung delegieren

    Der Entscheider beauftragt eine andere Identität mit der Entscheidung. Diese Identität wird als Entscheider in den aktuellen Entscheidungsschritt aufgenommen. Sie entscheidet anstelle des delegierenden Entscheiders. Aktivieren Sie dafür am Entscheidungsschritt die Option Entscheidung delegierbar.

    Der aktuelle Entscheider kann die Entscheidung verweigern und die Bestellungan den ursprünglichen Entscheider zurückgeben. Der ursprüngliche Entscheider kann eine Delegierung zurücknehmen und an eine andere Identität delegieren, beispielsweise wenn der andere Entscheider nicht verfügbar ist.

Es können E-Mail Benachrichtigungen an die anderen und die ursprünglichen Entscheider versendet werden.

Ausführliche Informationen finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Detaillierte Informationen zum Thema
Verwandte Themen
関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択