Installierte Module: |
Modul Complianceregeln |
In den Entscheidungsworkflows können Sie die Prüfung der IT Shop Bestellungen auf Regelkonformität integrieren. Dafür wird ein separates Entscheidungsverfahren angeboten. Dieses Entscheidungsverfahren überprüft, ob der Empfänger der Bestellung bei Genehmigung seiner Bestellungen bestehende Complianceregeln verletzen würde. Das Ergebnis der Überprüfung wird im Entscheidungsverlauf der Bestellung und in der Genehmigungshistorie protokolliert.
Tabelle 43: Entscheidungsverfahren für Complianceprüfungen
CR - Regelprüfung (vereinfacht) |
Überprüfung der aktuellen Bestellung auf mögliche Regelverletzungen. Berücksichtigt das bestellte Produkt und alle bereits zugewiesenen Unternehmensressourcen des Empfängers der Bestellung. |
Voraussetzungen für die Prüfung der Bestellungen
Um einen Überblick über potentielle Regelverletzungen zu erhalten, können Sie eine vereinfachte Regelprüfung durchführen. Mit dem Entscheidungsverfahren CR können Bestellungen vor ihrer endgültigen Entscheidung hinsichtlich möglicher Regelverletzungen überprüft werden.
Bei der Regelprüfung werden folgende Daten des Empfängers einer Bestellung berücksichtigt:
-
alle offenen Bestellungen
-
alle Unternehmensressourcen, die dem Empfänger bereits zugewiesen sind
-
alle Benutzerkonten des Empfängers
-
alle Berechtigungen in Zielsystemen (beispielsweise Active Directory Gruppen oder SAP Rollen), die der Empfänger über diese Benutzerkonten erhalten hat
Für die Regelprüfung werden regelmäßig berechnete Hilfstabellen für Objektzuordnungen ausgewertet. Die Berechnung der Hilfstabellen wird über einen Zeitplan gesteuert. Außerdem berücksichtigt das Entscheidungsverfahren nur solche Complianceregeln, die über die vereinfachte Definition erstellt wurden.
Die Regelprüfung erreicht damit keine vollständige Überprüfung der Bestellungen. Unter folgenden Bedingungen ist es möglich, dass die Regelprüfung eine Regelverletzung nicht erkennt:
-
Die Berechtigungen des Kunden ändern sich, nachdem die Hilfstabellen berechnet wurden.
-
Eine Regel wird nicht durch das bestellte Produkt verletzt, sondern durch ein Objekt, dass über das bestellte Produkt vererbt wird. Die Vererbung wird erst nach der Genehmigung der Bestellung berechnet und kann damit erst nach der nächsten Berechnung der Hilfstabellen erkannt werden.
-
Der Kunde gehört erst durch die Bestellung zur betroffenen Personengruppe einer Regel.
-
Die Regelbedingung wurde im erweiterten Modus oder als SQL-Abfrage erstellt.
TIPP: Eine vollständige Prüfung der Zuweisungen wird mit der zyklischen Prüfung der Complianceregeln über Zeitpläne erreicht. Damit werden alle Regelverletzungen erkannt, die durch die Bestellungen entstanden sind.
Unter folgenden Bedingungen ist es möglich, dass die Regelprüfung eine Regelverletzung erkennt, obwohl keine Regel verletzt wird:
TIPP: Diese Bestellungen können nach Prüfung per Ausnahmegenehmigung genehmigt werden, sofern die Definition der verletzten Regel es zulässt.
Über die Regelprüfung kann nicht nur festgestellt werden, welche Regel eine Bestellung verletzt. Es kann auch ermittelt werden, welches Produkt der Bestellung die Regelverletzung verursacht. Damit ist eine detaillierte Auswertung der Regelverletzungen möglich. Sofern die Definition der Complianceregeln es zulässt, können Bestellungen, die Regeln verletzen, per Ausnahmegenehmigung dennoch genehmigt werden. Für die Ausnahmegenehmigungen werden zusätzliche Entscheidungsschritte in die Entscheidungsworkflows eingefügt.
Bedingungen für die Regelprüfung von Bestellungen
-
Pro Entscheidungsworkflow können Sie nur einen Entscheidungsschritt mit dem Entscheidungsverfahren CR einfügen.
-
Die Regelbedingungen wurden in der vereinfachten Definition erstellt.
-
Bei der Regelprüfung werden die festgelegten IT Shop Eigenschaften der einzelnen Regeln berücksichtigt. Die Erkennung einer Regelverletzung richtet sich nach der Einstellung der Eigenschaft Erkennung einer Regelverletzung.
-
Die Regelprüfung sollte als letzte Entscheidungsebene in den Entscheidungsworkflow aufgenommen werden. Die nachfolgende Entscheidungsebene bei negativer Entscheidung darf nur einen Entscheidungsschritt zur Ermittlung der Ausnahmegenehmiger enthalten.
Ablauf einer Regelprüfung
-
Wird ein Entscheidungsschritt zur Regelprüfung nach dem Entscheidungsverfahren CR erkannt, werden alle Produkte offener Bestellungen dem Kunden zugeordnet. Es wird also angenommen, dass alle offenen Bestellungen genehmigt würden und der Kunde somit die Produkte erhalten würde. Anschließend wird die aktuell verarbeitete Bestellung auf potentielle Verletzungen der definierten Regeln analysiert.
-
Wird keine Regelverletzung festgestellt, wird der Entscheidungsschritt automatisch positiv entschieden und die Bestellung an die Entscheider der nächsten Entscheidungsebene zur Entscheidung übergeben.
-
Wird eine Regelverletzung festgestellt, wird der Entscheidungsschritt automatisch negativ entschieden. Sofern die Definition der verletzten Regel es zulässt, kann die Bestellung per Ausnahmegenehmigung dennoch genehmigt werden.
Ausführliche Informationen zur Complianceprüfung finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.
Detaillierte Informationen zum Thema
Wenn der Konfigurationsparameter QER | ComplianceCheck | EnableITSettingsForRule aktiviert ist, können an Complianceregeln zusätzliche Eigenschaften erfasst werden, die bei der Regelprüfung von Bestellungen berücksichtigt werden.
Über die IT Shop Eigenschaft Erkennung einer Regelverletzung legen Sie für eine Regel fest, welche Regelverletzungen protokolliert werden.
Tabelle 44: Zulässige Werte
Neue Regelverletzung durch die Bestellung |
Es werden nur Regelverletzungen protokolliert, die durch die Genehmigung der aktuellen Bestellung neu hinzukommen würden. |
Nicht genehmigte Ausnahmen |
Es werden Regelverletzungen protokolliert, die durch die Genehmigung der aktuellen Bestellung neu hinzukommen würden. Zusätzlich werden auch bereits bekannte Regelverletzungen protokolliert, für die noch keine genehmigten Ausnahmen vorliegen. |
Jede Verletzung der Compliance |
Es werden alle Regelverletzungen protokolliert, unabhängig davon ob bereits eine Ausnahmegenehmigung vorliegt oder nicht.
Dieser Wert wird automatisch gesetzt, wenn die Option Explizite Ausnahmegenehmigung aktiviert wird. |
Wenn der Konfigurationsparameter QER | ComplianceCheck | EnableITSettingsForRule deaktiviert ist, werden neue Regelverletzungen durch die aktuelle Bestellung protokolliert.
Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.
Eine Bestellung, die eine Regelverletzung zur Folge hat, kann per Ausnahmegenehmigung dennoch genehmigt werden.
Um Ausnahmegenehmigungen für Bestellungen mit Regelverletzungen zu ermöglichen
-
Aktivieren Sie an den Complianceregeln die Option Ausnahmegenehmigung möglich und weisen Sie Ausnahmegenehmiger zu.
Weitere Informationen finden Sie imOne Identity Manager Administrationshandbuch für Complianceregeln.
-
Fügen Sie in den Entscheidungsworkflow einen Entscheidungsschritt mit dem Verfahren OC oder OH ein. Verbinden Sie diese Entscheidungsebene mit der Entscheidungsebene für die Regelprüfung an dem Verbindungspunkt für die negative Entscheidung.
Hinweis:
-
Wenden Sie diese Entscheidungsverfahren nur unmittelbar nach einer Entscheidungsebene mit dem Entscheidungsverfahren CR an.
-
Pro Entscheidungsworkflow kann nur ein Entscheidungsschritt mit den Entscheidungsverfahren OC oder OH definiert werden.
-
Wenn der Konfigurationsparameter QER | ComplianceCheck | EnableITSettingsForRule aktiviert ist, können Sie über die IT Shop Eigenschaften der Regeln einstellen, welche Regelverletzungen einem Ausnahmegenehmiger vorgelegt werden. Aktivieren oder deaktivieren Sie dafür die Option Explizite Ausnahmegenehmigung.
Weitere Informationen finden Sie unter Explizite Ausnahmegenehmigung.
Tabelle 45: Entscheidungsverfahren für Ausnahmegenehmigungen
OC (Ausnahmegenehmiger der verletzten Regeln) |
Die Entscheidung wird von den Ausnahmegenehmigern der verletzten Regel getroffen. Da mit einer Bestellung durchaus mehrere Regeln verletzt werden können, wird die Bestellung allen Ausnahmegenehmigern parallel vorgelegt. Eine Ablehnung der Ausnahmegenehmigung durch einen der Ausnahmegenehmiger führt zur Ablehnung der Bestellung. |
OH (Ausnahmegenehmiger der schwersten Regelverletzung) |
Die Entscheidung wird durch die Ausnahmegenehmiger der Regel mit dem höchsten Gefährdungsgrad getroffen. Damit kann bei Verletzung mehrerer Regeln durch eine Bestellung das Verfahren der Ausnahmegenehmigung beschleunigt werden.
Für dieses Entscheidungsverfahren stellen Sie sicher, dass:
-
der Schweregrad in den Bewertungskriterien aller Complianceregeln festgelegt ist,
-
die Ausnahmegenehmiger für die schwerste Regelverletzung in allen betroffenen Regeln zu den Ausnahmegenehmigern gehören. |
Beispiel
Durch die Bestellung einer Active Directory Gruppenmitgliedschaft werden vier verschiedene Complianceregeln verletzt. An allen Complianceregeln ist der Zielsystemverantwortliche der Active Directory Domäne als Ausnahmegenehmiger eingetragen.
Mit dem Entscheidungsverfahren OC muss der Zielsystemverantwortliche Ausnahmegenehmigungen für alle vier Complianceregeln erteilen.
Mit dem Entscheidungsverfahren OH bekommt der Zielsystemverantwortliche die Bestellung nur für die Complianceregel mit dem höchsten Schweregrad vorgelegt. Seine Entscheidung wird für die übrigen verletzten Regeln automatisch nachgenutzt.
Abbildung 8: Beispiel für einen Entscheidungsworkflow mit Regelprüfung und Ausnahmegenehmigung
Ablauf einer Regelprüfung mit Ausnahmegenehmigung
-
Wird bei einer Regelprüfung eine Regelverletzung festgestellt, wird der Entscheidungsschritt automatisch negativ entschieden. Die Bestellung wird an die Entscheider der nächsten Entscheidungsebene zur Entscheidung übergeben.
-
Es werden die Ausnahmegenehmiger entsprechend dem angegebenen Entscheidungsverfahren ermittelt.
-
Wird eine Ausnahmegenehmigung erteilt, wird die Bestellung genehmigt und zugewiesen.
-
Wird keine Ausnahmegenehmigung erteilt, wird die Bestellung abgelehnt.
Hinweis:
-
Entgegen dem sonst angewendeten Verantwortlicher-Stellvertreter-Prinzip ist der Stellvertreter eines Ausnahmegenehmigers selbst nicht berechtigt eine Ausnahmegenehmigung zu erteilen.
-
Für Ausnahmegenehmiger können keine Fallback-Entscheider ermittelt werden. Wenn kein Ausnahmegenehmiger ermittelt werden kann, wird die Bestellung abgebrochen.
-
Die zentrale Entscheidergruppe kann keine Ausnahmegenehmigungen erteilen.