Über diese Aufgabe können Sie die Regelverantwortlichen für die ausgewählte Regel pflegen. Dafür weisen Sie der auf dem Stammdatenformular eingetragenen Anwendungsrolle für Ausnahmegenehmiger die Personen zu, die berechtigt sind, diese Regel zu bearbeiten.
HINWEIS: Die Änderungen werden für alle Regeln wirksam, denen diese Anwendungsrolle zugewiesen ist.
Um Personen als Regelverantwortliche zu berechtigen
-
Wählen Sie im Manager die Kategorie Identity Audit > Regeln.
-
Wählen Sie in der Ergebnisliste die Regel.
-
Wählen Sie die Aufgabe Regelverantwortliche pflegen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Personen zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Personen entfernen.
Um eine Zuweisung zu entfernen
- Speichern Sie die Änderungen.
Verwandte Themen
In der Regelbedingung stellen Sie die Berechtigungen zusammen, die zu einer Regelverletzung führen. In der Regelbedingung werden die betroffene Personengruppe und die betroffenen Berechtigungen separat eingeschränkt. Über die betroffene Personengruppe werden die Personen und Identitäten ermittelt, auf die die Regelbedingung anzuwenden ist. Über die betroffenen Berechtigungen werden die Eigenschaften definiert, die für die betroffene Personengruppe zu einer Regelverletzung führen. Die Berechtigungen werden über die Objektbeziehungen der betroffenen Personen ermittelt (Tabelle PersonHasObject).
Bei der Formulierung der Regelbedingungen unterstützt Sie der Regeleditor. Hier können Sie vordefinierte Bedingungstypen und Operatoren nutzen. Die komplette Datenbankabfrage wird intern zusammengesetzt. Ist der Konfigurationsparamter QER | ComplianceCheck | SimpleMode | ShowDescriptions aktiviert, werden in der vereinfachten Definition zusätzliche Eingabefelder für eine nähere Beschreibung der einzelnen Regelblöcke angezeigt.
Abbildung 2: Regeleditor für die vereinfachte Definition von Regeln
Die Steuerelemente des Regeleditors stellen Operatoren und Eigenschaften zur Verfügung, die Sie zur Formulierung der Teilbedingungen benötigen. In einfachen Auswahllisten können Sie nur einen Eintrag auswählen. In erweiterten Auswahllisten mit einer hierarchischen Darstellung der Eigenschaften können Sie mehrere Einträge auswählen, die über eine Oder-Verknüpfung in die Bedingung eingebunden werden. Über Eingabefelder ist die freie Eingabe von Text zulässig. Die verfügbaren Auswahllisten und Eingabefelder werden dynamisch eingeblendet.
Eine Regelbedingung setzt sich aus mehreren Regelblöcken zusammen. Eine Regelverletzung wird festgestellt, wenn eine Person mit ihren Eigenschaften und Zuweisungen allen Regelblöcken zugeordnet werden kann.
Es gibt zwei Arten von Regelblöcken:
-
Betroffene Personengruppe
Jede Regel muss genau einen Regelblock enthalten, der die Personengruppe festlegt, auf welche die Regel angewendet werden soll. Standardmäßig werden alle Personen mit allen Identitäten beachtet. Sie können die Personengruppe jedoch weiter einschränken.
-
Betroffene Berechtigungen
Definieren Sie mindestens einen Regelblock, der die betroffenen Berechtigungen ermittelt. Hier werden die Eigenschaften zusammengestellt, die für die betroffene Personengruppe zu einer Regelverletzung führen. Folgende Berechtigungen können Sie in den Regelblöcken prüfen: Mitgliedschaften in hierarchischen Rollen, Systemberechtigungen, Systemrollen, Software, Ressourcen.
Mit dem Regeleditor können Sie beliebig viele Teilbedingungen innerhalb der einzelnen Regelblöcke einfügen und miteinander verknüpfen. Über die Optionen Alle und Mindestens eine legen Sie fest, ob eine oder alle Teilbedingungen eines Regelblocks erfüllt sein müssen.
Tabelle 21: Bedeutung der Symbole im Regeleditor
|
|
Hinzufügen einer weiteren Teilbedingung beziehungsweise eines weiteren Regelblocks. Es wird eine neue Zeile für die Bedingungseingabe eingeblendet. |
|
|
Löschen der Teilbedingung beziehungsweise des Regelblocks. Die Zeile wird ausgeblendet. |
|
|
Öffnen des Vorschaufensters. Es werden die betroffenen Objekte angezeigt. |
|
|
Blendet die Liste der betroffenen Objekte im Vorschaufenster ein. |
Um eine Vorschau der betroffenen Objekte anzuzeigen
-
Klicken Sie im Regeleditor an der Bedingung oder einer Teilbedingung .
-
Um die Liste der betroffenen Objekte anzuzeigen, klicken Sie im Vorschaufenster .
Jede Regeln muss genau einen Regelblock enthalten, der die Personengruppe festlegt.
Abbildung 3: Regelblock für die betroffene Personengruppe
Die betroffene Personengruppe grenzen Sie über folgende Optionen ein.
-
Von allen Mitarbeitern
Alle Personen werden berücksichtigt.
-
Nur von Mitarbeitern, die alle/mindestens eine der folgenden Bedingungen erfüllen
Die Personengruppe wird durch eine Bedingung eingeschränkt, beispielsweise "Alle Personen der Abteilung A" oder "Alle externen Personen". Um die betroffene Personengruppe zu ermitteln, formulieren Sie entsprechende Teilbedingungen.
Für die Einschränkung der betroffenen Personengruppe legen Sie in der ersten Auswahlliste einer Teilbedingung den Bedingungstyp fest.
Tabelle 22: Zulässige Bedingungstypen im Regeleditor
|
Eigenschaft |
Eigenschaften der Personen. Die Auswahlliste der zulässigen Eigenschaften ist bereits auf die wichtigsten Eigenschaften einer Person eingeschränkt. |
|
Für das Benutzerkonto mit dem Zielsystemtyp |
Eigenschaften der Benutzerkonten der Personen mit dem gewählten Zielsystemtyp. |
|
SQL Abfrage |
Eingabe einer SQL Bedingung (Where-Klausel). Ausführliche Informationen zum Where-Klausel Assistenten finden Sie im One Identity Manager Anwenderhandbuch für die Benutzeroberfläche der One Identity Manager-Werkzeuge. |
-
Eine einzelne Identität
Tabelle 23: Ergebnis der Regelprüfung
|
verletzt |
Eine Subidentität oder die Hauptidentität einer Person erfüllt die Regelbedingung. |
|
nicht verletzt |
Die Hauptidentität erfüllt die Regelbedingung nur aufgrund ihrer Subidentitäten. |
-
Die Kombination aller Identitäten
Die Regel ist verletzt, wenn
Ausführliche Informationen zu Identitäten finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Verwandte Themen
.