Chat now with support
Chat with Support

Identity Manager 9.1 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops IT Shop mit dem Application Governance Modul nutzen Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Leistungspositionen erfassen Servicekategorien erfassen Produktspezifische Bestelleigenschaften erfassen Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Nutzungsbedingungen erfassen Schlagworte erfassen
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellungen Delegierungen Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Systemberechtigungen automatisch in den IT Shop aufnehmen Ungenutzte Anwendungsrollen für Produkteigner löschen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien für Bestellungen Entscheidungsworkflows für Bestellungen Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Entscheiden von Bestellungen eines Entscheiders Bestellungen automatisch entscheiden Entscheidungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen Weitere Informationen zur Bestellung einholen Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung
Überblick über Bestellungen Mehrfache Bestellungen eines Produktes Zeitlich begrenzte Bestellungen Umzug des Kunden oder des Produkts in einen anderen Shop Änderung des Entscheidungsworkflows bei offenen Bestellungen Bestellungen für Mitarbeiter Managerwechsel für Mitarbeiter bestellen Bestellungen stornieren Produkte abbestellen Benachrichtigungen im Bestellprozess Entscheidung per E-Mail Entscheidung über adaptive Karten Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften Bestellungen von dauerhaft deaktivierten Personen Bestellungen löschen
Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Umstrukturieren des IT Shop Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Bestellvorlagen Empfehlungen und Hinweise zum Transportieren von IT Shop Bestandteilen mit dem Database Transporter
Beheben von Fehlern im IT Shop Konfigurationsparameter für IT Shop Status von Bestellungen Beispiele für das Ergebnis von Bestellungen

Abbruch einer Bestellung bei Zeitüberschreitung

Bestellungen können bei Überschreitung eines festgelegten Zeitraumes automatisch abgebrochen werden. Der Abbruch kann erfolgen, wenn ein einzelner Entscheidungsschritt oder das gesamte Genehmigungsverfahren einen bestimmten Zeitraum überschreitet.

Um den Abbruch nach Zeitüberschreitung eines einzelnen Entscheidungsschrittes zu konfigurieren

  • Erfassen Sie am Entscheidungsschritt die folgenden Daten.

    • Timeout (Minuten):

      Anzahl der Minuten, nach deren Ablauf der Entscheidungsschritt automatisch entschieden wird. Die Angabe wird in Arbeitsstunden umgerechnet und zusätzlich angezeigt.

      Für die Zeitberechnung wird die gültige Arbeitszeit des jeweiligen Entscheiders berücksichtigt.

      HINWEIS: Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Personen ein Bundesland und/oder ein Bundesstaat eingetragen ist. Wenn diese Informationen fehlen, wird ein Fallback zur Berechnung der Arbeitszeit genutzt. Ausführliche Informationen zur Ermittlung der Arbeitszeit von Personen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

      TIPP: Wochenenden und Feiertage werden bei der Berechnung der Arbeitszeiten standardmäßig berücksichtigt. Wenn Wochenenden oder Feiertage wie Arbeitstage behandelt werden sollen, aktivieren Sie die Konfigurationsparameter QBM | WorkingHours | IgnoreHoliday oder QBM | WorkingHours | IgnoreWeekend. Ausführliche Informationen dazu finden Sie im One Identity Manager Konfigurationshandbuch.

      Wurden mehrere Entscheider ermittelt, dann wird der Entscheidungsschritt erst dann automatisch entschieden, wenn der Timeout für alle Entscheider überschritten ist. Gleiches gilt, wenn ein zusätzlicher Entscheider beauftragt wurde.

      Hat ein Entscheider die Entscheidung delegiert, wird der Zeitpunkt für die automatische Entscheidung für den neuen Entscheider neu berechnet. Wenn dieser die Entscheidung zurückweist, wird der Zeitpunkt für die automatische Entscheidung für den ursprünglichen Entscheider neu berechnet.

      Wenn ein Entscheider eine Anfrage stellt, muss die Entscheidung trotzdem innerhalb des definierten Timeouts getroffen werden. Der Zeitpunkt für die automatische Entscheidung wird nicht neu berechnet.

      Wenn durch eine Neuberechnung der verantwortlichen Entscheider zusätzliche Entscheider ermittelt werden, dann wird der Zeitpunkt für die automatische Entscheidung dadurch nicht verlängert. Die zusätzlichen Entscheider müssen innerhalb des Zeitraums entscheiden, der für die bisherigen Entscheider gültig ist.

    • Verhalten bei Timeout:

      Aktion, die im Falle einer Zeitüberschreitung ausgeführt wird.

      • Abbruch: Der Entscheidungsschritt, und somit das gesamte Genehmigungsverfahren für die Bestellung, wird abgebrochen.

Um den Abbruch nach Zeitüberschreitung des gesamten Genehmigungsverfahrens zu konfigurieren

  • Erfassen Sie am Entscheidungsworkflow die folgenden Daten.

    • Systemabbruch (Tage):

      Anzahl der Tage, nach deren Ablauf der Entscheidungsworkflow, und somit das gesamte Genehmigungsverfahren, automatisch durch das System beendet wird.

Bei Abbruch einer Bestellung kann eine E-Mail Benachrichtigung an den Besteller versendet werden.

Verwandte Themen

Entscheidungen durch die zentrale Entscheidergruppe

Mitunter können Bestellungen nicht entschieden werden, da ein Entscheider nicht verfügbar ist oder keinen Zugang zu den One Identity Manager Werkzeugen hat. Um solche Bestellungen dennoch abzuschließen, können Sie eine zentrale Entscheidergruppe festlegen, deren Mitglieder berechtigt sind, zu jedem Zeitpunkt in die Genehmigungsverfahren einzugreifen.

Die zentralen Entscheider sind berechtigt in besonderen Fällen Bestellungen zu genehmigen, abzulehnen, abzubrechen oder andere Entscheider zu beauftragen.

WICHTIG:

  • Da die zentralen Entscheider Bestellungen jederzeit entscheiden können, kann mit deren Entscheidungen das 4-Augen-Prinzip für Genehmigungen durchbrochen werden. Legen Sie unternehmensspezifisch fest, in welchen besonderen Fällen die zentrale Entscheidergruppe in Genehmigungsverfahren eingreifen darf.

  • Zentrale Entscheider dürfen immer auch ihre eigenen Bestellungen entscheiden. Die Einstellungen an den Konfigurationsparametern QER | ITShop | PersonInsertedNoDecide und QER | ITShop | PersonOrderedNoDecide gelten nicht für die zentrale Entscheidergruppe.

  • Entscheidungen der zentralen Entscheider werden nicht automatisch auf andere Entscheidungsebenen übernommen. Die Einstellungen an den Konfigurationsparametern QER | ITShop | DecisionOnInsert, QER | ITShop | AutoDecision und QER | ITShop | ReuseDecision gelten nicht für die zentrale Entscheidergruppe.

  • Am Entscheidungsschritt kann festgelegt werden, wie viele Entscheider diesen Entscheidungsschritt entscheiden müssen.

    • Wird eine Entscheidung durch die zentrale Entscheidergruppe getroffen, dann ersetzt das die Entscheidung genau eines regulären Entscheiders. Das heißt, wenn drei Entscheider den Entscheidungsschritt genehmigen müssen und die zentrale Entscheidergruppe entscheidet, sind noch zwei weitere Entscheidungen erforderlich.

    • Die Anzahl der Entscheider wird nicht berücksichtigt, wenn die Bestellung an Fallback-Entscheider zugewiesen wird. Die zentralen Entscheider können auch in diesem Fall die Entscheidung übernehmen. Der Entscheidungsschritt gilt als entschieden, sobald 1 Mitglied aus der zentralen Entscheidergruppe die Bestellung entschieden hat.

  • Wenn ein regulärer Entscheider einen zusätzlichen Entscheider hinzugefügt hat, kann die zentrale Entscheidergruppe sowohl für den regulären als auch den zusätzlichen Entscheider entscheiden. Wenn beide Entscheidungen offen sind, ersetzt ein zentraler Entscheider zuerst nur die Entscheidung des regulären Entscheiders. Erst eine zweite Entscheidung der zentralen Entscheidergruppe ersetzt die Entscheidung des zusätzlichen Entscheiders.

Die zentrale Entscheidergruppe kann Bestellungen für alle manuellen Entscheidungsschritte entscheiden. Dabei gilt:

  • Für Entscheidungsschritte mit den Entscheidungsverfahren CR, SB, CD, EX und WC sowie OC und OH sind keine zentralen Entscheidungen möglich.

  • Wenn ein Mitglied der zentralen Entscheidergruppe für einen Entscheidungsschritt auch als regulärer Entscheider ermittelt wird, dann kann er diesen Entscheidungsschritt nur als regulärer Entscheider entscheiden.

  • Die zentrale Entscheidergruppe kann auch entscheiden, wenn ein regulärer Entscheider eine Anfrage gestellt hat und sich die Bestellung im Hold-Status befindet.

Um Mitglieder in die zentrale Entscheidergruppe aufzunehmen

  1. Wählen Sie im Manager die Kategorie IT Shop > Basisdaten zur Konfiguration > Zentrale Entscheidergruppe.

  2. Wählen Sie die Aufgabe Personen zuweisen.

    Weisen Sie im Bereich Zuordnungen hinzufügen die Personen zu, die berechtigt sind alle Bestellungen zu entscheiden.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Personen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Person und doppelklicken Sie .

  3. Speichern Sie die Änderungen.
Verwandte Themen

Bestellungen mit Nutzungsbedingungen entscheiden

Für einzelne Leistungspositionen können Nutzungsbedingungen hinterlegt werden, die über die Bedingungen zur Nutzung des Produkts informieren (beispielsweise die Lizenzbedingung von Software). Bei der Bestellung dieses Produkts müssen der Besteller und der Bestellempfänger die Nutzungsbedingungen akzeptieren, damit die Bestellung ausgeführt wird.

Damit der Bestellempfänger die Nutzungsbedingung akzeptieren kann, muss die Bestellung im Genehmigungsverfahren an den Bestellempfänger zugewiesen werden. Richten Sie für solche Bestellungen einen Entscheidungsworkflow mit einem Entscheidungsschritt BR ein und aktivieren Sie an diesem Entscheidungsschritt die Option Keine automatische Entscheidung. Der One Identity Manager stellt einen Standard-Entscheidungsworkflow und eine Standard-Entscheidungsrichtlinie Bestätigung von Nutzungsbedingungen bei Bestellungen durch Dritte (Beispiel) bereit, die Sie dafür nutzen können. Erstellen Sie auf Basis des Standard-Entscheidungsworkflows einen eigenen Entscheidungsworkflow, der die Bestellung an den Bestellempfänger zurückgibt und nach Bestätigung der Nutzungsbedingungen die Entscheider der Bestellung ermittelt. Nutzen Sie dafür das Entscheidungsverfahren BR.

Um einen Entscheidungsworkflow für Bestellungen mit Nutzungsbedingungen zu erstellen

  1. Wählen Sie im Manager die Kategorie IT Shop > Basisdaten zur Konfiguration > Entscheidungsworkflows > Vordefiniert.

  2. Wählen Sie in der Ergebnisliste den Entscheidungsworkflow Bestätigung von Nutzungsbedingungen bei Bestellungen durch Dritte (Beispiel) und führen Sie die Aufgabe Stammdaten bearbeiten aus.

  3. Wählen Sie die Aufgabe Workflow kopieren

  4. Erfassen Sie die Bezeichnung der Kopie und klicken Sie OK.

  5. Bearbeiten Sie die Kopie. Passen Sie den Entscheidungsworkflow an Ihre Erfordernisse an.

  6. Erstellen Sie eine Entscheidungsrichtlinie und ordnen Sie den neuen Entscheidungsworkflow zu.

  7. Ordnen Sie die Entscheidungsrichtlinie den Leistungspositionen zu, denen Nutzungsbedingungen zugewiesen sind.

Detaillierte Informationen zum Thema

Standard-Genehmigungsverfahren nutzen

Der One Identity Manager liefert standardmäßig Entscheidungsrichtlinien und Entscheidungsworkflows aus. Diese werden in den Genehmigungsverfahren des Shops Identity & Access Lifecycle genutzt.

Tabelle 51: Standardentscheidungsrichtlinien und -workflows im Shop Identity & Access Lifecycle

Entscheidungsrichtlinie/-workflow

Beschreibung

Regal | Produkt

Complianceprüfung (vereinfacht)

Complianceprüfung und Ausnahmegenehmigung für alle Produkte im Regal, denen keine eigene Entscheidungsrichtlinie zugewiesen ist. Weitere Informationen finden Sie unter Prüfen von Bestellungen auf Regelkonformität.

Identity Lifecycle

Selbstbedienung

Zuweisungsbestellungen und Delegierungen werden standardmäßig automatisch genehmigt. Weitere Informationen finden Sie unter Standardprodukte für Zuweisungsbestellungen.

Identity Lifecycle | Delegierung

Identity Lifecycle | Berechtigungszuordnung zu Geschäftsrollen

Identity Lifecycle | Mitgliedschaft in Geschäftsrollen

Selbstbedienung

Automatische Genehmigung für alle Produkte im Regal, denen keine eigene Entscheidungsrichtlinie zugewiesen ist. Weitere Informationen finden Sie unter Selbstbedienung.

Gruppen Lifecycle

Azure Active Directory Gruppen

Azure Active Directory Abonnements

Unwirksame Azure Active Directory Dienstpläne

Exchange Online Verteilergruppen

Office 365 Gruppen

Microsoft Teams Teams

Bestätigung von Nutzungsbedingungen bei Bestellungen durch Dritte (Beispiel)

Kopiervorlage für Bestellungen mit Nutzungsbedingungen. Weitere Informationen finden Sie unter Bestellungen mit Nutzungsbedingungen entscheiden.

 

Temporäre Verlängerung gelöschter Rollenmitgliedschaften

Zeitlich begrenzte Zuweisungsbestellungen für Rollenmitgliedschaften werden automatisch genehmigt. Weitere Informationen finden Sie unter Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften.

Identity Lifecycle | Temporäre Verlängerung gelöschter Rollenmitgliedschaften

Zuweisung neuer Manager

Die Bestellung eines Managerwechsels muss durch den neuen Manager genehmigt werden. Weitere Informationen finden Sie unter Managerwechsel für Mitarbeiter bestellen.

Identity Lifecycle | Zuweisung neuer Manager

Entscheidung der Bestellungen zur Neuanlage von Active Directory Gruppen

Die Bestellung neuer Active Directory Gruppen muss durch den Zielsystemverantwortlichen genehmigt werden. Die Gruppen werden im One Identity Manager angelegt und in das Zielsystem publiziert. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Gruppen Lifecycle | Anlegen einer Active Directory Sicherheitsgruppe

Gruppen Lifecycle | Anlegen einer Active Directory Verteilergruppe

Entscheidung der Bestellungen von Änderungen an Active Directory Gruppen

Die Änderung von Gruppentyp und Gruppenbereich von Active Directory Gruppen muss durch den Zielsystemverantwortlichen genehmigt werden. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Gruppen Lifecycle | Ändern einer Active Directory Gruppe

Entscheidung der Bestellungen zum Löschen von Active Directory Gruppen

Das Löschen einer Active Directory Gruppe muss durch den Zielsystemverantwortlichen genehmigt werden. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Gruppen Lifecycle | Löschen einer Active Directory Gruppe

Entscheidung der Bestellungen von Active Directory Gruppenmitgliedschaften

Produkteigner und Zielsystemverantwortliche können Mitgliedschaften für die Gruppen in diesen Regalen bestellen. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Active Directory Gruppen

Entscheidung der Bestellungen zur Neuanlage von SharePoint Gruppen

Die Bestellung neuer SharePoint Gruppen muss durch den Zielsystemverantwortlichen genehmigt werden. Die Gruppen werden im One Identity Manager angelegt und in das Zielsystem publiziert. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer SharePoint-Umgebung.

Gruppen Lifecycle | Anlegen einer SharePoint Gruppe

Entscheidung der Bestellungen von Gruppenmitgliedschaften

Produkteigner und Zielsystemverantwortliche können Mitgliedschaften für die Gruppen in diesen Regalen bestellen. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer SharePoint-Umgebung.

SharePoint Gruppen

Entscheidung von Bestellungen zum Entfernen von Mitgliedschaften in Systemberechtigungen

Diese Entscheidungsrichtlinie kann genutzt werden, um das automatische Löschen von Mitgliedschaften in Active Directory Gruppen zu konfigurieren.

Entfernen von Mitgliedschaften in Systemberechtigungen (Produkt ist keinem Regal zugewiesen)

Entscheidung der Bestellungen von privilegierten Zugriffen

Die Bestellung einer Zugriffsanforderung muss durch den Eigentümer des privilegierten Objektes genehmigt werden. Um Zugriffsanforderungen zu bestellen, sind zusätzliche Systemvoraussetzungen im Privileged Account Management System zu gewährleisten. Ausführliche Informationen zum Bestellen von PAM Zugriffsanforderungen finden Sie im One Identity Manager Administrationshandbuch für die Privileged Account Governance.

Privilegierter Zugriff | Kennwortanforderung

Privilegierter Zugriff | SSH-Sitzungsanforderung

Privilegierter Zugriff | Remote-Desktop-Sitzungsanforderung

Privilegierter Zugriff | Telnet-Sitzungsanforderung

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating