サポートと今すぐチャット
サポートとのチャット

Identity Manager 8.2.1 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops IT Shop mit dem Application Governance Modul nutzen Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Leistungspositionen erfassen Servicekategorien erfassen Produktspezifische Bestelleigenschaften erfassen Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Nutzungsbedingungen erfassen Schlagworte erfassen
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellungen Delegierungen Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Systemberechtigungen automatisch in den IT Shop aufnehmen Ungenutzte Anwendungsrollen für Produkteigner löschen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien für Bestellungen Entscheidungsworkflows für Bestellungen Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Entscheiden von Bestellungen eines Entscheiders Bestellungen automatisch entscheiden Entscheidungen durch Peer-Gruppen-Analyse Weitere Informationen zur Bestellung einholen Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung
Überblick über Bestellungen Mehrfache Bestellungen eines Produktes Zeitlich begrenzte Bestellungen Umzug des Kunden oder des Produkts in einen anderen Shop Änderung des Entscheidungsworkflows bei offenen Bestellungen Bestellungen für Mitarbeiter Managerwechsel für Mitarbeiter bestellen Bestellungen stornieren Produkte abbestellen Benachrichtigungen im Bestellprozess Entscheidung per E-Mail Entscheidung über adaptive Karten Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften Bestellungen von dauerhaft deaktivierten Personen Bestellungen löschen
Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Bestellvorlagen Empfehlungen und Hinweise zum Transportieren von IT Shop Bestandteilen mit dem Database Transporter
Beheben von Fehlern im IT Shop Konfigurationsparameter für IT Shop Status von Bestellungen Beispiele für das Ergebnis von Bestellungen

Entscheidungsverfahren löschen

Um ein Entscheidungsverfahren zu löschen

  1. Entfernen Sie alle Zuordnungen zu Entscheidungsschritten.

    1. Prüfen Sie auf dem Überblicksformular des Entscheidungsverfahrens, welchen Entscheidungsschritten das Entscheidungsverfahren zugeordnet ist.

    2. Wechseln Sie in den Entscheidungsworkflow und ordnen Sie dem Entscheidungsschritt ein anderes Entscheidungsverfahren zu.

  2. Wählen Sie im Manager die Kategorie IT Shop > Basisdaten zur Konfiguration > Kundendefiniert > Entscheidungsverfahren.

  3. Wählen Sie in der Ergebnisliste das Entscheidungsverfahren.

  4. Klicken Sie .

  5. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Ermitteln der verantwortlichen Entscheider

Welche Person in welcher Entscheidungsebene entscheidungsberechtigt ist, wird durch den DBQueue Prozessor berechnet. Sobald eine Bestellung ausgelöst wird, werden die Entscheider für alle Entscheidungsschritte des zu durchlaufenden Entscheidungsworkflows ermittelt. Änderungen in den Verantwortlichkeiten können dazu führen, dass eine Person für eine Bestellung, die noch nicht abschließend genehmigt ist, nun nicht mehr entscheidungsberechtigt ist. In diesem Fall müssen die Entscheider neu berechnet werden. Folgende Änderungen können eine Neuberechnung für noch nicht genehmigte Bestellungen auslösen:

  • Entscheidungsrichtlinie, -workflow, -schritt oder -verfahren wurde geändert.

  • Eine entscheidungsberechtigte Person verliert ihre Verantwortlichkeiten im One Identity Manager, beispielsweise wenn der Manager einer Abteilung, der Produkteigner oder der Zielsystemverantwortliche geändert wird.

  • Eine Person erhält Verantwortlichkeiten im One Identity Manager und wird dadurch entscheidungsberechtigt, beispielsweise als Manager des Bestellempfängers.

  • Eine entscheidungsberechtigte Person wird deaktiviert.

Sobald für eine Person eine Verantwortlichkeit im One Identity Manager geändert wird, wird ein Auftrag zur Neuberechnung der Entscheider in die DBQueue eingestellt. Dabei werden standardmäßig alle Entscheidungsschritte der offenen Genehmigungsverfahren neu berechnet. Bereits genehmigte Entscheidungsschritte bleiben genehmigt, auch wenn sich deren Entscheider geändert hat. Abhängig von der Konfiguration der Systemumgebung und der Menge der zu verarbeitenden Daten kann die Neuberechnung der Entscheider viel Zeit beanspruchen. Um diese Verarbeitungszeit zu optimieren, können Sie festlegen, für welche Entscheidungsschritte die Entscheider neu berechnet werden sollen.

Um die Neuberechnung der Entscheider zu konfigurieren

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | ReducedApproverCalculation und wählen Sie als Wert eine der folgenden Optionen.

    Tabelle 45: Optionen für die Neuberechnung von Entscheidern
    Option Beschreibung

    No

    Alle Entscheidungsschritte werden neu berechnet. Dieses Verhalten gilt auch, wenn der Konfigurationsparameter deaktiviert ist.

    Vorteil: Im Entscheidungsverlauf werden alle gültigen Entscheider angezeigt. Der weitere Entscheidungsverlauf ist transparent.

    Nachteil: Die Neuberechnung der Entscheider kann viel Zeit beanspruchen.

    CurrentLevel

    Es werden nur die Entscheider für die aktuell zu bearbeitende Entscheidungsebene neu berechnet. Sobald eine Entscheidungsebene genehmigt wurde, werden die Entscheider für die folgende Entscheidungsebene aktuell ermittelt.

    Vorteil: Die Anzahl der zu berechnenden Entscheidungsebenen wird reduziert. Die Berechnung der Entscheider wird möglicherweise beschleunigt.

    TIPP: Nutzen Sie diese Option, wenn in Ihrer Umgebung Performance-Probleme im Zusammenhang mit der Neuberechnung der Entscheider auftreten.

    Nachteil: Im Entscheidungsverlauf werden für jeden nachfolgenden Entscheidungsschritt noch die ursprünglich berechneten Entscheider angezeigt, die gegebenenfalls nicht mehr entscheidungsberechtigt sind. Die Darstellung des weiteren Entscheidungsverlaufs ist möglicherweise nicht korrekt.

    NoRecalc

    Keine Neuberechnung der Entscheider. Für die aktuelle Entscheidungsebene bleiben die bisherigen Entscheider entscheidungsberechtigt. Sobald eine Entscheidungsebene genehmigt wurde, werden die Entscheider für die folgende Entscheidungsebene aktuell ermittelt.

    Vorteil: Die Anzahl der zu berechnenden Entscheidungsebenen wird reduziert. Die Berechnung der Entscheider wird möglicherweise beschleunigt.

    TIPP: Nutzen Sie diese Option, wenn in Ihrer Umgebung Performance-Probleme im Zusammenhang mit der Neuberechnung der Entscheider auftreten, obwohl die Option CurrentLevel genutzt wird.

    Nachteil: Im Entscheidungsverlauf werden für jeden nachfolgenden Entscheidungsschritt noch die ursprünglich berechneten Entscheider angezeigt, die gegebenenfalls nicht mehr entscheidungsberechtigt sind. Die Darstellung des weiteren Entscheidungsverlaufs ist möglicherweise nicht korrekt. Die aktuelle Entscheidungsebene können Personen entscheiden, die nicht mehr entscheidungsberechtigt sind.

    Im ungünstigen Fall wurden hier ursprünglich nur Entscheider ermittelt, die nun keinen Zugang zum One Identity Manager haben, beispielsweise weil sie das Unternehmen verlassen haben. Die Entscheidungsebene kann nicht entschieden werden.

    Um solche Entscheidungsschritte dennoch abschließen zu können

    • Definieren Sie beim Einrichten der Entscheidungsworkflows an den Entscheidungsschritten ein Timeout und das Verhalten bei Timeout.

      - ODER -

    • Weisen Sie beim Einrichten des IT Shops Mitglieder an die zentrale Entscheidergruppe zu. Diese können jederzeit in offene Genehmigungsverfahren eingreifen.

Detaillierte Informationen zum Thema
Verwandte Themen

Risikobewertung einer Bestellung

Jede Person in einem Unternehmen, die über Berechtigungen in einem IT-System verfügt, birgt für das Unternehmen ein Sicherheitsrisiko. Beispielsweise trägt eine Person, die berechtigt ist, Finanzdaten im SAP System zu bearbeiten, ein höheres Risiko, als eine Person, die die eigenen Personenstammdaten bearbeiten darf. Um dieses Risiko zu bewerten, können Sie mit dem One Identity Manager für jede Unternehmensressource einen Risikowert erfassen. Für jede Person, der diese Unternehmensressourcen direkt oder indirekt zugewiesen sind, wird aus diesen Werten ein Risikoindex berechnet. Unternehmensressourcen umfassen Zielsystemberechtigungen (beispielsweise Active Directory Gruppen oder SAP Profile), Systemrollen, abonnierbare Berichte, Software und Ressourcen. Dadurch können alle Personen ermittelt werden, die im Unternehmen über besonders risikoreiche Unternehmensressourcen verfügen.

Mit jeder Zuweisung einer Unternehmensressource, für die ein Risikoindex festgelegt ist, kann der Risikoindex der Personen ein zulässiges Maß übersteigen. Werden Unternehmensressourcen über den IT Shop bestellt, kann der Risikoindex der bestellten Unternehmensressource geprüft werden. Ist dieser Risikoindex größer als ein zuvor festgelegter zulässiger Wert, wird die Bestellung abgelehnt.

Um die Risikobewertung von Bestellungen einzurichten

  • Erstellen Sie einen Entscheidungsworkflow.

    1. Fügen Sie einen Entscheidungsschritt mit dem Entscheidungsverfahren RI ein.

    2. Erfassen Sie im Eingabefeld Bedingung den Vergleichswert für den Risikoindex. Geben Sie eine Zahl im Wertebereich 0,0 ... 1,0 an.

    3. Fügen Sie bei Bedarf weitere Entscheidungsebenen hinzu.

Der Entscheidungsschritt wird durch den One Identity Manager genehmigt, wenn der Risikoindex der bestellten Unternehmensressource kleiner dem Vergleichswert ist. Ist der Risikoindex größer oder gleich dem Vergleichswert, wird der Entscheidungsschritt abgelehnt.

Die Risikobewertung von Bestellungen funktioniert sowohl bei der direkten Bestellung von Unternehmensressourcen als auch bei Zuweisungsbestellungen. Für die Entscheidung werden nur erfasste Risikoindizes zugrunde gelegt; berechnete Risikoindizes bleiben unberücksichtigt. Die Risikobewertung von Bestellungen wirkt daher nur, wenn die Tabelle, aus der das bestellte Produkt stammt, oder eine der Mitgliedertabellen einer bestellten Zuweisung eine Spalte RiskIndex hat. Hat die Tabelle lediglich die Spalte RiskIndexCalculated wird die Bestellung automatisch genehmigt. Haben beide Mitgliedertabellen einer Zuweisungsbestellung eine Spalte RiskIndex, dann wird der größere der beiden Risikoindizes für die Entscheidung zu Grunde gelegt.

Wenn die Bestellung einer Unternehmensressource oder einer Zuweisung genehmigt wurde, wird der Risikoindex der Personen mit dem nächsten Lauf des zeitgesteuerten Berechnungsauftrags neu berechnet.

Ausführliche Informationen zur Risikobewertung finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Verwandte Themen

Prüfen von Bestellungen auf Regelkonformität

Installierte Module: Modul Complianceregeln

In den Entscheidungsworkflows können Sie die Prüfung der IT Shop Bestellungen auf Regelkonformität integrieren. Dafür wird ein separates Entscheidungsverfahren angeboten. Dieses Entscheidungsverfahren überprüft, ob der Empfänger der Bestellung bei Genehmigung seiner Bestellungen bestehende Complianceregeln verletzen würde. Das Ergebnis der Überprüfung wird im Entscheidungsverlauf der Bestellung und in der Genehmigungshistorie protokolliert.

Tabelle 46: Entscheidungsverfahren für Complianceprüfungen

Entscheidungsverfahren

Beschreibung

CR - Regelprüfung (vereinfacht)

Überprüfung der aktuellen Bestellung auf mögliche Regelverletzungen. Berücksichtigt das bestellte Produkt und alle bereits zugewiesenen Unternehmensressourcen des Empfängers der Bestellung.

Voraussetzungen für die Prüfung der Bestellungen

関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択