Chat now with support
Chat with Support

Identity Manager 8.1.4 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Leistungspositionen erfassen Servicekategorien erfassen Produktspezifische Bestelleigenschaften erfassen Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Nutzungsbedingungen erfassen Schlagworte erfassen
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellung und Delegierung Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Active Directory und SharePoint Gruppen automatisch in den IT Shop aufnehmen Privileged Account Management Benutzergruppen automatisch in den IT Shop aufnehmen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien für Bestellungen Entscheidungsworkflows für Bestellungen Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Entscheiden von Bestellungen eines Entscheiders Bestellungen automatisch entscheiden Entscheidungen durch Peer-Gruppen-Analyse Weiterer Informationen zur Bestellung einholen Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Bestellvorlagen
Beheben von Fehlern im IT Shop Konfigurationsparameter für IT Shop Status von Bestellungen Beispiele für das Ergebnis von Bestellungen

Entscheidung per Starling 2FA App

Entscheider, die bei Starling Two-Factor Authentication registriert sind, können auch die Starling 2FA App für Entscheidungen nutzen. Aktivieren Sie dafür im Designer den Konfigurationsparameter QER | Person | Starling | UseApprovalAnywhere. Ausführliche Informationen dazu finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften

Wechselt eine Person ihre primäre Abteilung (Geschäftsrolle, Kostenstelle oder den Standort), verliert sie alle darüber vererbten Unternehmensressourcen und Systemberechtigungen. Mitunter kann es erforderlich sein, dass die Person diese Unternehmensressourcen und Systemberechtigungen für einen bestimmten Zeitraum behält. Mit einer zeitlich begrenzten Bestellung kann die bisherige Mitgliedschaft der Person aufrecht erhalten werden. Die vererbten Zuweisungen werden erst nach Ablauf des Gültigkeitszeitraums dieser Bestellung entfernt. Innerhalb des Gültigkeitszeitraums kann die Person die Bestellung verlängern.

Voraussetzungen

  • Personenstammdaten werden durch einen Import geändert.

  • Der Import setzt die Session-Variable FullSync=TRUE.

Um automatische Bestellungen für entfernte Rollenmitgliedschaften zu konfigurieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | ChallengeRoleRemoval.

  2. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | ChallengeRoleRemoval | DaysOfValidity und geben Sie den Gültigkeitszeitraum für die Bestellungen an.

  3. Aktivieren Sie im Designer die Konfigurationsparameter unterhalb von QER | ITShop | ChallengeRoleRemoval für die Rollen, deren primäre Mitgliedschaften bei Änderung erhalten bleiben sollen.

  4. Übernehmen Sie die Änderungen in die Datenbank.

HINWEIS: Die Konfigurationsparameter sind standardmäßig aktiviert. Der Gültigkeitszeitraum ist auf 7 Tage festgelegt.

Wenn durch einen Import Personenstammdaten geändert werden, prüft der One Identity Manager beim Speichern, ob eine primäre Rollenmitgliedschaft (beispielsweise Person.UID_Department) geändert oder gelöscht wurde. Ist das der Fall, wird das Skript VI_CreateRequestForLostRoleMembership ausgeführt. Das Skript erzeugt eine zeitlich begrenzte Zuweisungsbestellung dieser Rolle, die automatisch genehmigt wird. Die Person bleibt damit Mitglied der Rolle und behält ihre Unternehmensressourcen und Systemberechtigungen. Nach Ablauf des Gültigkeitszeitraums wird die Bestellung automatisch abbestellt.

Während des Gültigkeitszeitraums kann die Bestellung verlängert werden. Die Verlängerungsbestellung muss durch den Manager der Rolle entschieden werden. Bei Genehmigung wird sie in eine unbefristete Bestellung umgewandelt. Die Rollenmitgliedschaft bleibt bestehen, bis die Zuweisung abbestellt wird.

TIPP: Im Konfigurationsparameter QER | ITShop | ChallengeRoleRemoval | ITShopOrg ist festgelegt, welcher Produktknoten für die zeitlich begrenzte Bestellung geänderter Rollenmitgliedschaften verwendet werden soll. Das Produkt Temporäre Verlängerung gelöschter Rollenmitgliedschaften steht standardmäßig im Regal Identity & Access Lifecycle | Identity Lifecycle bereit. Sie können dieses Produkt auch in eine eigene IT Shop-Lösung aufnehmen.

Um das Produkt "Temporäre Verlängerung gelöschter Rollenmitgliedschaften" in einer eigenen IT Shop-Lösung zu nutzen

  1. Weisen Sie die Zuweisungsressource Temporäre Verlängerung gelöschter Rollenmitgliedschaften an ein eigenes Regal zu.

  2. Bearbeiten Sie im Designer den Wert des Konfigurationsparameters QER | ITShop | ChallengeRoleRemoval | ITShopOrg.

    • Geben Sie den vollständigen Namen oder die UID des neuen Produktknotens an.

Verwandte Themen

Bestellungen von dauerhaft deaktivierten Personen

Standardmäßig bleiben dauerhaft deaktivierte Personen Mitglied in allen Kundenknoten. Damit bleiben auch alle offenen Bestellungen und die daraus resultierenden Zuweisungen erhalten. Der One Identity Manager kann so konfiguriert werden, dass eine Person automatisch aus allen Kundenknoten entfernt wird, sobald sie dauerhaft deaktiviert wird. Damit werden alle offenen Bestellungen abgebrochen und die bestehenden Zuweisungen werden entfernt.

Um Personen automatisch aus allen Kundenknoten zu entfernen, wenn sie dauerhaft deaktiviert werden

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoCloseInactivePerson.

Bestellungen löschen

Um die Zahl der Bestellvorgänge in der One Identity Manager-Datenbank zu beschränken, können Sie abgeschlossene Bestellvorgänge aus der Datenbank entfernen. Dabei werden die Eigenschaften der Bestellvorgänge und die Genehmigungshistorie aufgezeichnet. Anschließend werden die Bestellungen gelöscht. Es verbleiben nur die abgeschlossenen Bestellungen in der Datenbank, deren Aufbewahrungszeitraum noch nicht abgelaufen ist.

Wenn es zu der zu löschenden Bestellung noch abhängige Bestellungen gibt, wird diese Bestellung erst dann gelöscht, wenn auch die abhängigen Bestellungen gelöscht werden. Abhängige Bestellungen sind Bestellungen, für die es einen Eintrag in PersonWantsOrg.UID_PersonWantsOrgParent gibt.

Um Bestellvorgänge automatisiert zu löschen

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | DeleteClosed.

    1. Damit abgebrochene Bestellungen gelöscht werden, aktivieren Sie den Konfigurationsparameter QER | ITShop | DeleteClosed | Aborted und legen Sie deren Aufbewahrungszeitraum in Tagen fest.

    2. Damit abgelehnte Bestellungen gelöscht werden, aktivieren Sie den Konfigurationsparameter QER | ITShop | DeleteClosed | Dismissed und legen Sie deren Aufbewahrungszeitraum in Tagen fest.

    3. Damit abbestellte Bestellungen gelöscht werden, aktivieren Sie den Konfigurationsparameter QER | ITShop | DeleteClosed | Unsubscribed und legen Sie deren Aufbewahrungszeitraum in Tagen fest.

  2. Aktivieren Sie im Designer den Konfigurationsparameter Common | ProcessState | PropertyLog.

    Die gelöschten Bestellvorgänge und deren Genehmigungshistorie werden aufgezeichnet. Ausführliche Informationen zum Aufzeichnen von Datenänderungen finden Sie im One Identity Manager Konfigurationshandbuch.

    HINWEIS: Aus Gründen der Revisionssicherheit sollten Sie die aufgezeichneten Bestellvorgänge archivieren. Ausführliche Informationen zur Einrichtung eines Archivierungsverfahrens finden Sie im One Identity Manager Administrationshandbuch für die Datenarchivierung.

Abgeschlossene Bestellungen werden durch den DBQueue Prozessor gelöscht, sobald die Aufbewahrungszeit der Bestellungen überschritten ist. Für die Berechnung der Aufbewahrungszeit wird das Datum der Deaktivierung der Bestellung genutzt. Sollte dieses Datum nicht angegeben sein, wird der Zeitpunkt der letzten Änderung der Bestellung zugrunde gelegt. Der DBQueue Prozessor ermittelt die zu löschenden Bestellungen im Rahmen der täglichen Wartungsaufträge. Es werden alle Eigenschaften der Bestellvorgänge und ihre Genehmigungshistorie aufgezeichnet.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating