Chat now with support
Chat with Support

Identity Manager 9.0 LTS - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Allgemeine Stammdaten für adaptive Karten

Für eine adaptive Karte bearbeiten Sie die folgenden Stammdaten.

Tabelle 41: Stammdaten einer adaptiven Karte

Eigenschaft

Beschreibung

Adaptive Karte

Bezeichnung der adaptiven Karte.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Deaktiviert

Gibt an, ob die adaptive Karte aktiv genutzt wird.

Vorlagen für adaptive Karten

Bezeichnung der Vorlagen, welche mit dieser adaptiven Karte genutzt werden können.

Sprachkultur

Sprache, für welche die adaptive Karte bereitgestellt wird. Beim Generieren einer adaptiven Karte werden die Spracheinstellungen des Empfängers berücksichtigt und eine passende Vorlage verwendet. Wenn keine Sprache ermittelt werden kann oder für die ermittelte Sprache keine passende Vorlage vorhanden ist, wird en-US als Fallback genutzt.

Vorlage

JSON-Vorlage der adaptiven Karte, welche Platzhalter für das Adaptive Card Templating enthält.

Verwandte Themen
  • Adaptive Karten erstellen, bearbeiten und löschen
  • Vorlagen für adaptive Karten erstellen, bearbeiten und löschen
  • Adaptive Karten deaktivieren

Bereitstellen und Auswerten adaptiver Karten für Attestierungen

Wenn in einem Entscheidungsschritt ein Attestierer ermittelt wird und diesem Entscheidungsschritt eine Mailvorlage Aufforderung zugeordnet ist, wird der Prozess ATT_AttestationHelper approve anywhere ausgeführt. Der Prozess wird generiert, wenn folgende Bedingungen erfüllt sind:

  • Der Attestierer ist als Empfänger in Starling Cloud Assistant registriert.

  • Für den Attestierer ist eine Standard-E-Mail-Adresse hinterlegt.

  • Der Konfigurationsparameter QER | Person | Starling | UseApprovalAnywhere ist aktiviert.

  • Im Konfigurationsparameter QER | Person | Starling | UseApprovalAnywhere | SecondsToExpire ist eine Ablaufzeit eingetragen.

  • Der Konfigurationsparameter QER | Attestation | MailTemplateIdents | RequestApproverByCollection ist deaktiviert.

    - ODER -

    An der Attestierungsrichtlinie ist Benachrichtigungen über offene Attestierungen immer versenden aktiviert.

Der Prozess führt das Skript ATT_CloudAssistant_CreateMessage_AttestationHelper aus und übergibt dafür die Bezeichnung und die UID der zu versendenden adaptiven Karte. Das Skript erstellt die adaptive Karte aus der JSON-Vorlage für die adaptive Karte und den Daten aus dem Attestierungsvorgang und versendet sie an den Attestierer. Das Skript ATT_CloudAssistant_CheckMessage_AttestationHelper prüft, ob der Attestierer eine Antwort gesendet hat, wertet die Antwort aus und aktualisiert den Attestierungsvorgang entsprechend der getroffenen Entscheidung.

HINWEIS: Wenn Sie eine eigene Vorlage für adaptive Karten nutzen möchten, prüfen Sie die Skripte ATT_CloudAssistant_CreateMessage_AttestationHelper, ATT_CloudAssistant_CreateData_AttestationHelper und ATT_CloudAssistant_CheckMessage_AttestationHelper und passen Sie diese gegebenenfalls an inhaltliche Änderungen in der Vorlage an. Ausführliche Informationen zum Überschreiben von Skripten finden Sie im One Identity Manager Konfigurationshandbuch.

Verwandte Themen

Adaptive Karten deaktivieren

Adaptive Karten, die nicht genutzt werden, können deaktiviert werden.

Um eine adaptive Karte zu deaktivieren

  1. Wählen Sie im Manager die Kategorie Attestierung > Basisdaten zur Konfiguration > Adaptive Karten.

  2. Wählen Sie in der Ergebnisliste die adaptive Karte.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie Deaktiviert.

  5. Speichern Sie die Änderungen.
Verwandte Themen

Standardattestierungen und der Entzug von Berechtigungen

Der One Identity Manager stellt für verschiedene Datensituationen Standard-Attestierungsverfahren und Standard-Attestierungsrichtlinien bereit.

Datensituationen für Standardattestierungen:

  • Systemberechtigungen, die eine Person besitzt

  • Systemberechtigungen, die an Systemberechtigungen zugewiesen sind

  • Systemberechtigungen, die an hierarchische Rollen zugewiesen sind

  • Systemrollen, die einer Person zugewiesen sind

  • Unternehmensressourcen, die an Systemrollen zugewiesen sind

  • Systemrollen, die an hierarchische Rollen zugewiesen sind

  • Mitgliedschaften in Geschäftsrollen und Anwendungsrollen

  • Personenstammdaten eines neuen One Identity Manager Benutzers

  • Personenstammdaten vorhandener One Identity Manager Benutzer

Für die Attestierung von Personenstammdaten werden die erforderlichen Attestierungsrichtlinien standardmäßig bereitgestellt. Sie können diese Attestierungsrichtlinien ohne weitere Anpassungen nutzen. Voraussetzungen und Ablauf der Attestierung von Personenstammdaten ist im Abschnitt Attestierung und Rezertifizierung von Benutzern beschrieben.

Mit den Standard-Attestierungsverfahren für die übrigen Datensituationen können Sie auf einfachem Wege im Web Portal Attestierungsrichtlinien erstellen. Sie können auch die mitgelieferten Standard-Attestierungsrichtlinien ohne weitere Anpassungen nutzen. Darüber hinaus können Sie konfigurieren, wie mit abgelehnten Attestierungen weiter verfahren werden soll, die auf diesen Standard-Attestierungsverfahren basieren. Wenn es Ihre spezielle Datensituation zulässt, können abgelehnte Berechtigungen sofort im Anschluss an die Attestierung durch den One Identity Manager entzogen werden.

Um abgelehnte Berechtigungen automatisch zu entziehen

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | AutoRemovalScope und die untergeordneten Konfigurationsparameter.

  2. Wenn die Berechtigungen über IT Shop Bestellungen erworben wurden, legen Sie fest, ob diese Bestellungen abbestellt oder abgebrochen werden sollen. Aktivieren Sie dafür den Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName und wählen Sie einen Wert.

    • Abort: Bestellungen werden abgebrochen. Sie durchlaufen damit keinen Abbestellworkflow. Die bestellten Berechtigungen werden ohne zusätzliche Prüfung entzogen.

    • Unsubscribe: Bestellungen werden abbestellt. Sie durchlaufen den an den Entscheidungsrichtlinien hinterlegten Abbestellworkflow. Der Entzug der Berechtigung kann damit zusätzlich geprüft werden.

      Wenn die Abbestellung abgelehnt wird, wird die Berechtigung nicht entzogen, obwohl die Attestierung abgelehnt ist.

    Wenn der Konfigurationsparameter deaktiviert ist, werden die Bestellungen abgebrochen.

Wichtig: Wenn einer Person Rollenmitgliedschaften oder Systemrollen entzogen werden, verliert sie dadurch die abgelehnte Berechtigung. Sie verliert aber auch alle anderen Unternehmensressourcen, die ihr über die Rolle vererbt wurden. Das können weitere Systemberechtigungen oder Kontendefinitionen sein. Gegebenenfalls werden ihr dadurch zulässige Systemberechtigungen entzogen oder Benutzerkonten gelöscht!

Prüfen sie, ob Ihre Datensituation den automatischen Entzug von Berechtigungen zulässt, bevor Sie die Konfigurationsparameter unter QER | Attestation | AutoRemovalScope aktivieren.

Der automatische Entzug von Berechtigungen wird durch einen zusätzlichen Entscheidungsschritt mit dem Entscheidungsverfahren EX in den Standard-Entscheidungsworkflows angestoßen.

Ablauf der Attestierung mit anschließendem Entzug abgelehnter Berechtigungen:

  1. Eine Attestierung mit einem Standard-Attestierungsverfahren wird durchgeführt.

  2. Der Attestierer lehnt die Attestierung ab. Der Entscheidungsschritt wird negativ entschieden und die Entscheidung an die nächste Entscheidungsebene mit dem Entscheidungsverfahren EX übergeben.

  3. Der Entscheidungsschritt löst das Ereignis AUTOREMOVE aus. Dadurch wird der Prozess VI_Attestation_AttestationCase_AutoRemoveMemberships ausgeführt.

  4. Der Prozess führt das Skript VI_AttestationCase_RemoveMembership aus. Dieses entfernt die betroffene Berechtigung abhängig von den aktivierten Konfigurationsparametern.

  5. Das Skript setzt den Status des Entscheidungsschritts auf Abgelehnt. Dadurch wird der gesamte Attestierungsvorgang endgültig abgelehnt.

  6. Aufträge zur Neuberechnung der Vererbung werden in die DBQueue eingestellt.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating