サポートと今すぐチャット
サポートとのチャット

Identity Manager 8.2.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Auswahl der verantwortlichen Attestierer

Der One Identity Manager kann die Entscheidungen in einem Attestierungsverfahren automatisch treffen oder durch Attestierer treffen lassen. Ein Attestierer ist eine Person oder eine Gruppe von Personen, die innerhalb eines Attestierungsverfahrens einen Attestierungsvorgang genehmigen oder ablehnen kann. Wer die Entscheidungen trifft, wird über verschiedene Entscheidungsverfahren ermittelt. Welches Entscheidungsverfahren angewendet werden soll, wird am Entscheidungsschritt festgelegt.

Werden durch ein Entscheidungsverfahren mehrere Personen als Entscheider ermittelt, dann bestimmt die am Entscheidungsschritt angegebene Anzahl, wie viele Personen diesen Schritt entscheiden müssen. Erst danach wird der Attestierungsvorgang den Attestierern der nächsten Ebene vorgelegt. Kann für einen Entscheidungsschritt kein Entscheider ermittelt werden, wird das Attestierungsverfahren abgebrochen.

Der One Identity Manager stellt standardmäßig Entscheidungsverfahren bereit. Zusätzlich können Sie eigene Entscheidungsverfahren definieren.

Welche Person in welcher Entscheidungsebene entscheidungsberechtigt ist, wird durch den DBQueue Prozessor berechnet. Beachten Sie bei der Einrichtung von Entscheidungsworkflows die Besonderheiten der einzelnen Entscheidungsverfahren zur Ermittlung der entscheidungsberechtigten Personen.

Standard-Entscheidungsverfahren

Um Standard-Entscheidungsverfahren anzuzeigen

  • Wählen Sie die Kategorie Attestierung | Basisdaten zur Konfiguration | Entscheidungsverfahren | Vordefiniert.

Für die Auswahl der verantwortlichen Attestierer sind standardmäßig die nachfolgend aufgeführten Entscheidungsverfahren bereitgestellt.

Tabelle 26: Entscheidungsverfahren für Attestierung

Bezeichnung des Verfahrens

Attestierer

AA - Attestierer der zu attestierenden Rolle

Attestierer der Organisation (Abteilung, Standort, Kostenstelle), Geschäftsrolle oder des IT Shops, wenn Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen attestiert werden.

  • Attestierer für Abteilungen, Kostenstellen und Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
  • Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.
  • Attestierer für Bestellungen müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AD - Attestierer der Abteilung des Empfängers

Attestierer der Abteilung, die dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Abteilungen müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AL - Attestierer des Standorts des Empfängers

Attestierer des Standorts, der dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AM - Manager der verbundenen Person

Manager der Person, die mit dem zu attestierenden Benutzerkonto verbunden ist.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

AN - Attestierer der zu attestierenden Systemberechtigung

Attestierer der Systemberechtigung oder Systemrolle, wenn Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen attestiert werden. Die Attestierer werden über die zugeordnete Leistungsposition ermittelt.

  • Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AO - Attestierer der primären Rolle des Empfängers

Attestierer der Geschäftsrolle, die dem Attestierungsobjekt primär zugeordnet ist.

Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AP - Attestierer der Kostenstelle des Empfängers

Attestierer der Kostenstelle, die dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Kostenstellen müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Rolle der zu attestierenden Person ermitteln.

AR - Attestierer der zu attestierenden Complianceregel

Attestierer der Complianceregel, die attestiert wird.

  • Attestierer müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AS - Entscheider der Attestierungsrichtlinie

Alle Personen, die als Entscheider der Attestierungsrichtlinie zugewiesen sind.

Weitere Informationen finden Sie unter Attestierer über die Attestierungsrichtlinie ermitteln.

AT - Attestierer der zu attestierenden Organisation

Attestierer der Organisation (Abteilung, Standort, Kostenstelle), Geschäftsrolle oder des IT Shops, die/der attestiert wird.

  • Attestierer für Abteilungen, Kostenstellen und Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
  • Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.
  • Attestierer für Bestellungen müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

AY - Attestierer der zu attestierenden Unternehmensrichtlinie

Attestierer der Unternehmensrichtlinie, die attestiert wird.

  • Attestierer müssen der Anwendungsrolle Identity & Access Governance | Unternehmensrichtlinien | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über Attestierungsobjekte ermitteln.

CD - Errechnete Entscheidung

-

Weitere Informationen finden Sie unter Errechnete Entscheidung.

CM - Manager des Empfängers

Manager der Person, die attestiert wird.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

CS - Person selbst

Person, die attestiert wird, selbst.

Weitere Informationen finden Sie unter Attestierte Person als Attestierer ermitteln.

DM - Abteilungsleiter des Empfängers

Manager/Stellvertreter der Abteilung, wenn Personen oder sekundäre Mitgliedschaften in Abteilungen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

EA - Person des Benutzerkontos

Person, die dem zu attestierenden Benutzerkonto zugeordnet ist.

Weitere Informationen finden Sie unter An ein Benutzerkonto zugeordnete Person als Attestierer ermitteln.

ED - Abteilungsleiter bei Attestierung einer Systemberechtigung

Abteilungsleiter der Person, deren Systemberechtigungen attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EM - Manager der Person bei Attestierung einer Systemberechtigung

Manager der Person, deren Systemberechtigungen attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EN - Zielsystemverantwortliche der zu attestierenden Systemberechtigung

Zielsystemverantwortliche der Systemberechtigung, die attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EO - Produkteigner der zu attestierenden Systemberechtigung

Produkteigner, der Systemberechtigung oder der Systemrolle, die attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

EX - Extern vorzunehmende Entscheidung

-

Weitere Informationen finden Sie unter Extern vorzunehmende Entscheidung.

KA - Produkteigner und zusätzliche Besitzer der Active Directory Gruppe

Produkteigner und zusätzliche Besitzer der Active Directory Gruppe, wenn Active Directory Gruppen oder Gruppenmitgliedschaften attestiert werden.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

LM - Manager des Standorts

Manager/Stellvertreter des Standorts, wenn Personen oder sekundäre Mitgliedschaften in Standorten attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

MD - Manager der Abteilung der verbundenen Person

Manager der primären Abteilung der Person, die mit dem zu attestierenden Benutzerkonto verbunden ist.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

MO - Manager der Geschäftsrolle

Manager/Stellvertreter der Geschäftsrolle, wenn Personen oder sekundäre Mitgliedschaften in Geschäftsrollen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

OA - Produkteigner

Alle Mitglieder der zugeordneten Anwendungsrolle, wenn Leistungspositionen, Systemberechtigungen oder Systemrollen attestiert werden.

Weitere Informationen finden Sie unter Produkteigner als Attestierer ermitteln.

OM - Manager einer bestimmten Rolle

Manager der im Entscheidungsworkflow festgelegten Rolle.

Weitere Informationen finden Sie unter Attestierer über eine festgelegte Rolle ermitteln.

OP - Eigentümer eines privilegierten Objektes

Alle Personen, die als Eigentümer der bestellten privilegierten Zugriffsanforderung ermittelt werden können.

Weitere Informationen finden Sie unter Eigentümer eines privilegierten Objektes als Attestierer ermitteln.

OR - Mitglieder einer bestimmten Rolle

Alle Personen, die der im Entscheidungsworkflow festgelegten Rolle sekundär zugewiesen sind.

Weitere Informationen finden Sie unter Attestierer über eine festgelegte Rolle ermitteln.

OT - Attestierer der zugeordneten Leistungsposition

Attestierer der Leistungsposition, die dem zu attestierenden Objekt zugeordnet ist.

  • Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.

Weitere Informationen finden Sie unter Attestierer über die Leistungsposition der Attestierungsobjekte ermitteln.

PA - Zusätzlicher Besitzer der Active Directory Gruppe

Alle Personen, die über den zusätzlichen Besitzer der zu attestierenden Active Directory Gruppe ermittelt werden können.

Weitere Informationen finden Sie unter Zusätzlicher Besitzer einer Active Directory Gruppe als Attestierer ermitteln.

PM - Kostenstellenverantwortliche des Empfängers

Verantwortlicher/Stellvertreter der Kostenstelle, wenn sekundäre Mitgliedschaften in Kostenstellen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

PO - Vorgeschlagener Eigentümer

Vorgeschlagener Eigentümer des Attestierungsobjekts

Weitere Informationen finden Sie unter Eigentümer der Attestierungsobjekte als Attestierer ermitteln.

RE - Verantwortlicher der zu attestierenden Systemrolle

Verantwortlicher der Systemrolle, die attestiert wird.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

RM - Manager der Rolle bei Attestierung von Mitgliedschaften

Manager der zu attestierenden Rolle, wenn sekundäre Mitgliedschaften in Rollen attestiert werden.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

RR - Manager der Rolle bei Attestierung von Rollen und Zuweisungen an Rollen

Manager der zu attestierenden Rolle.

Weitere Informationen finden Sie unter Manager der Attestierungsobjekte als Attestierer ermitteln.

SO - Zielsystemverantwortliche der zu attestierenden Berechtigung

Zielsystemverantwortliche der Systemberechtigung oder des Benutzerkontos, das attestiert wird.

Weitere Informationen finden Sie unter Verantwortliche der Attestierungsobjekte als Attestierer ermitteln.

WC - Warten auf andere Entscheidung

-

Weitere Informationen finden Sie unter Warten auf andere Entscheidung.

Attestierer über die Attestierungsrichtlinie ermitteln

Wenn Sie die Attestierer für beliebige Objekte an einer Attestierungsrichtlinie festlegen wollen, nutzen Sie das Entscheidungsverfahren AS. Das Entscheidungsverfahren ermittelt alle Personen, die als Entscheider der Attestierungsrichtlinie zugewiesen sind.

Mit diesem Verfahren können Sie beliebige Objekte durch beliebige, festgelegte Personen attestieren lassen. Diese Personen müssen als Entscheider der Attestierungsrichtlinie zugewiesen sein. Die Attestierer können auch beim Erstellen von Attestierungsrichtlinien im Web Portal angegeben werden. Ausführliche Informationen dazu finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Verwandte Themen

Attestierer über die Rolle der zu attestierenden Person ermitteln

Installierte Module:

Geschäftsrollenmodul (für Entscheidungsverfahren AO)

Wenn Sie Zuweisungen von Unternehmensressourcen zu Ihren Mitarbeitern oder Bestellungen Ihrer Mitarbeiter attestieren wollen, nutzen Sie die Entscheidungsverfahren AD, AL, AO oder AP. Die ermittelten Attestierer sind Mitglied der Anwendungsrolle Attestierer.

Attestierungsobjekte sind Personen (Tabelle: Person) oder Empfänger einer Bestellung (Tabelle: PersonWantsOrg). Die Entscheidungsverfahren ermitteln zu jedem Attestierungsobjekt den Attestierer der Rolle (Abteilung, Standort, Geschäftsrolle, Kostenstelle), die dem Attestierungsobjekt primär zugeordnet ist. Ist der primär zugeordneten Rolle kein Attestierer direkt zugeordnet, ermittelt das Entscheidungsverfahren den Attestierer übergeordneter Rollen. Wird auch auf diesem Weg kein Attestierer gefunden, wird der Attestierungsvorgang dem Attestierer der zugehörigen Rollenklasse zur Entscheidung vorgelegt.

Hinweis: Wenn die Attestierer über das Entscheidungsverfahren AO ermittelt werden und für die Geschäftsrollen Bottom-Up-Vererbung festgelegt ist, beachten Sie Folgendes:

  • Wenn der primär zugeordneten Geschäftsrolle kein Attestierer zugeordnet ist, werden die Attestierer der untergeordneten Geschäftsrolle ermittelt.

Verwandte Themen
関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択