지금 지원 담당자와 채팅
지원 담당자와 채팅

Identity Manager 9.2 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops IT Shop mit dem Application Governance Modul nutzen Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Leistungspositionen erfassen Servicekategorien erfassen Produktspezifische Bestelleigenschaften erfassen Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Nutzungsbedingungen erfassen Schlagworte erfassen
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellungen Delegierungen Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Systemberechtigungen automatisch in den IT Shop aufnehmen Ungenutzte Anwendungsrollen für Produkteigner löschen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien für Bestellungen Entscheidungsworkflows für Bestellungen Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Entscheiden von Bestellungen eines Entscheiders Bestellungen automatisch entscheiden Entscheidungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Bestellungen Weitere Informationen zur Bestellung einholen Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung
Überblick über Bestellungen Mehrfache Bestellungen eines Produktes Zeitlich begrenzte Bestellungen Umzug des Kunden oder des Produkts in einen anderen Shop Änderung des Entscheidungsworkflows bei offenen Bestellungen Bestellungen für Mitarbeiter Managerwechsel für Mitarbeiter bestellen Bestellungen stornieren Produkte abbestellen Benachrichtigungen im Bestellprozess Entscheidung per E-Mail Entscheidung über adaptive Karten Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften Bestellungen von dauerhaft deaktivierten Identitäten Bestellungen und Stellvertretungen löschen
Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Umstrukturieren des IT Shop Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Produktpakete Empfehlungen und Hinweise zum Transportieren von IT Shop Bestandteilen mit dem Database Transporter
Beheben von Fehlern im IT Shop Konfigurationsparameter für IT Shop Status von Bestellungen Beispiele für das Ergebnis von Bestellungen

Benachrichtigungen bei Massendelegierungen

Im Web Portal haben Sie die Möglichkeit alle Ihre Verantwortlichkeiten zugleich an eine Identität zu delegieren. Wenn Sie sehr viele Verantwortlichkeiten haben, kann es vorkommen, dass nicht alle Delegierungen durchgeführt werden. Ein Delegierender kann sich bei Bedarf benachrichtigen lassen, wenn ein solcher Fehler auftritt.

Um eine Benachrichtigung zu versenden, wenn Massendelegierungen fehlschlagen

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | MailTemplateIdents | InformRequestorAboutMassDelegationErrors.

    Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage Delegierung - Fehler bei der Massendelegierung versendet.

TIPP: Um eine andere als die Standardmailvorlage für diese Benachrichtigungen zu nutzen, ändern Sie den Wert des Konfigurationsparameters im Designer.

Verwandte Themen

Entscheidung per E-Mail

Um Entscheidern, die zeitweilig keinen Zugang zu den One Identity Manager-Werkzeugen haben, die Möglichkeit zu geben, Bestellungen zu entscheiden, können Sie die Entscheidung per E-Mail einrichten. Dabei erhalten die Entscheider eine E-Mail-Benachrichtigung, wenn für sie eine Bestellung zur Entscheidung vorliegt. Über entsprechende Links in der E-Mail können die Entscheider die Entscheidung treffen, ohne sich mit dem Web Portal zu verbinden. Dabei wird eine E-Mail generiert, die die Entscheidung enthält und in der der Entscheider eine Begründung seiner Entscheidung erfassen soll. Diese E-Mail wird an ein zentrales Postfach gesendet. Der One Identity Manager überprüft das Postfach regelmäßig, wertet die eingegangenen E-Mails aus und aktualisiert entsprechend den Status der Bestellvorgänge.

WICHTIG: Eine Entscheidung per E-Mail ist nicht möglich, wenn für das bestellte Produkt die Multifaktor-Authentifizierung konfiguriert ist. Entscheidungsmails für solche Bestellungen bewirken eine Fehlermeldung.
Voraussetzungen

  • Wenn Sie ein Microsoft Exchange Postfach verwenden, konfigurieren Sie die Microsoft Exchange-Umgebung mit

    • Microsoft Exchange Client Access Server Version 2007, Service Pack 1 oder höher

    • Microsoft Exchange Web Service .NET API Version 1.2.1, 32 Bit

  • Wenn Sie ein Exchange Online Postfach verwenden, registrieren Sie im Microsoft Azure Management Portal in ihrem Azure Active Directory Mandanten eine Anwendung, beispielsweise One Identity Manager <Approval by Mail>.

    Ausführliche Informationen, wie Sie die Anwendung registrieren, finden Sie unter https://docs.microsoft.com/en-us/exchange/client-developer/exchange-web-services/how-to-authenticate-an-ews-application-by-using-oauth#register-your-application.

  • Das Benutzerkonto des One Identity Manager Service für die Anmeldung am Microsoft Exchange beziehungsweise am Exchange Online benötigt Vollzugriff auf das Postfach, das im Konfigurationsparameter QER | ITShop | MailApproval | Inbox angegeben ist.

  • Der Konfigurationsparameter QER | ITShop | MailTemplateIdents | RequestApproverByCollection ist deaktiviert.

Um die Entscheidung per E-Mail einzurichten

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | MailApproval | Inbox und geben Sie das Postfach an, an das Entscheidungsmails gesendet werden sollen.

  2. Richten Sie den Zugriff auf das Postfach ein.

    • Wenn Sie ein Microsoft Exchange Postfach verwenden:

      • Standardmäßig nutzt der One Identity Manager das Benutzerkonto des One Identity Manager Service, um sich am Microsoft Exchange Server anzumelden und auf das Postfach zuzugreifen.

        - ODER -

      • Geben Sie ein separates Benutzerkonto für die Anmeldung am Microsoft Exchange Server zum Zugriff auf das Postfach an.

        • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | MailApproval | Account und tragen Sie den Namen des Benutzerkontos ein.

        • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | MailApproval | Domain und tragen Sie die Domäne des Benutzerkontos ein.

        • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | MailApproval | Password und tragen Sie das Kennwort des Benutzerkontos ein.

    • Wenn Sie ein Exchange Online Postfach verwenden:

      • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | MailApproval | AppId und tragen Sie die Anwendungs-ID ein, die bei der Registrierung der Anwendung im Azure Active Directory Mandanten erzeugt wurde.

      • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | MailApproval | Domain und tragen Sie die Domäne zur Anmeldung am Azure Active Directory ein.

      • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | MailApproval | Password und tragen Sie den geheimen Clientschlüssel (Anwendungskennwort) für die Anwendung ein.

  3. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | MailTemplateIdents | ITShopApproval.

    An diesem Konfigurationsparameter ist die Mailvorlage hinterlegt, die genutzt wird, um die Entscheidungsmail zu erstellen. Sie können die Standardmailvorlage nutzen oder eine unternehmensspezifische Mailvorlage hinterlegen.

    TIPP: Um eine unternehmensspezifische Mailvorlage für Entscheidungsmails zu nutzen, ändern Sie den Wert des Konfigurationsparameters. Passen Sie in diesem Fall auch das Skript VI_MailApproval_ProcessMail an.

  4. Ordnen Sie an den Entscheidungsschritten folgende Mailvorlagen zu.

    Tabelle 59: Mailvorlagen für die Entscheidung per E-Mail

    Eigenschaft

    Mailvorlage

    Mailvorlage Aufforderung

    IT Shop Bestellung - Aufforderung zur Entscheidung (per E-Mail)

    Mailvorlage Erinnerung

    IT Shop Bestellung - Erinnerung Entscheider (per E-Mail)

    Mailvorlage Delegierung

    IT Shop Bestellung - Delegierte/zusätzliche Entscheidung (per E-Mail)

    Mailvorlage Zurückweisung

    IT Shop Bestellung - Ablehnung Entscheidung (per E-Mail)

  5. Konfigurieren und aktivieren Sie im Designer den Zeitplan Verarbeiten der IT Shop Entscheidungen per E-Mail.

    Entsprechend diesem Zeitplan überprüft der One Identity Manager regelmäßig das Postfach nach neuen Entscheidungsmails. Standardmäßig wird das Postfach alle 15 Minuten überprüft. Sie können das Ausführungsintervall des Zeitplans entsprechend ihren Erfordernissen anpassen.

Um das Postfach aufzuräumen

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | MailApproval | DeleteMode und wählen Sie einen der folgenden Werte.

    • HardDelete: Die verarbeitete E-Mail wird sofort gelöscht.

    • MoveToDeletedItems: Die verarbeitete E-Mail wird in den Ordner Gelöschte Objekte des Postfachs verschoben.

    • SoftDelete: Die verarbeitete E-Mail wird in den Active Directory Papierkorb verschoben und kann bei Bedarf wiederhergestellt werden.

    HINWEIS: Bei Einsatz der Aufräumverfahren MoveToDeletedItems oder SoftDelete sollten Sie den Ordner Gelöschte Objekte und den Active Directory Papierkorb in regelmäßigen Abständen leeren.

Verwandte Themen

Verarbeitung von Entscheidungsmails

Der Zeitplan Verarbeiten der IT Shop Entscheidungen per E-Mail startet den Prozess VI_ITShop_Process Approval Inbox. Dieser Prozess führt das Skript VI_MailApproval_ProcessInBox aus, welches das Postfach nach neuen Entscheidungsmails durchsucht und die Bestellvorgänge in der One Identity Manager-Datenbank aktualisiert. Dabei wird der Inhalt der Entscheidungsmail verarbeitet.

HINWEIS: Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Attestierungen per E-Mail verwendet wird!

Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der One Identity Manager Service läuft, diesem Rootzertifikat vertrauen.

TIPP: Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover-Dienst läuft.

Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter QER | ITShop | MailApproval | ExchangeURI an.

Entscheidungsmails werden durch das Skript VI_MailApproval_ProcessMail verarbeitet. Das Skript ermittelt die getroffene Entscheidung, aktiviert bei positiver Entscheidung die Option Genehmigt und hinterlegt die Begründung für die Entscheidung an den Bestellvorgängen. Über die Absenderadresse wird der Entscheider ermittelt. Danach wird die Entscheidungsmail abhängig vom gewählten Aufräumverfahren aus dem Postfach entfernt.

HINWEIS: Wenn Sie eine unternehmensspezifische Mailvorlage für die Entscheidungsmail nutzen, prüfen Sie das Skript und passen Sie es gegebenenfalls an. Beachten Sie dabei, dass dieses Skript auch für Attestierungen per E-Mail verwendet wird!

Entscheidung über adaptive Karten

Um Entscheidern, die zeitweilig keinen Zugang zu den One Identity Manager Werkzeugen haben, die Möglichkeit zu geben, Bestellungen zu entscheiden, können Sie adaptive Karten versenden. Adaptive Karten enthalten alle Informationen zum bestellten Produkt, die für die Entscheidung einer Bestellung nötig sind. Dazu gehören:

  • Aktuelle und nächste Entscheider

  • Genehmigungshistorie

  • Regelverletzungen durch die Bestellung

  • Möglichkeit zur Auswahl einer Standardbegründung oder Eingabe einer Begründung als Freitext

  • Möglichkeit zur Anpassung des Gültigkeitszeitraums der Bestellung

  • Link auf die Bestellung im Web Portal

One Identity Starling Cloud Assistant übermittelt die adaptiven Karten über einen festgelegten Kanal an die Entscheider, wartet auf deren Antwort und sendet diese an den One Identity Manager. Aktuell können Slack und Microsoft Teams für die Übermittlung der adaptiven Karten genutzt werden. In Starling Cloud Assistant werden die Kanäle konfiguriert und können für jeden Empfänger separat festgelegt werden.

HINWEIS: In bisherigen One Identity Manager Versionen konnte die Starling 2FA App für die Entscheidung von Bestellungen genutzt werden. Starling Two-Factor Authentication und die Starling 2FA App werden nicht mehr unterstützt. Für die Entscheidung von Bestellungen nutzen Sie stattdessen die neue Funktionalität der adaptiven Karten mit Starling Cloud Assistant.

Voraussetzungen
Detaillierte Informationen zum Thema
관련 문서

The document was helpful.

평가 결과 선택

I easily found the information I needed.

평가 결과 선택