Chat now with support
Chat with Support

Identity Manager 9.1.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Zertifizierung neuer Rollen und Organisationen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Attestierung in einer separaten Datenbank einrichten

Zeitgesteuerte Attestierungen sind oftmals Prozesse, die eine hohe Last erzeugen. Es ist möglich, solche Prozesse in eine separate Datenbank auszulagern und damit die Zentraldatenbank zu entlasten. Um beide Datenbanken zu synchronisieren, richten Sie die Systemsynchronisation mit dem One Identity Manager Konnektor ein. Durch regelmäßige Synchronisationen mit einer Zentraldatenbank, die alle Daten enthält, können Sie die Funktionalitäten des One Identity Manager optimal nutzen.

Alle für die Attestierung benötigten Daten werden aus der Zentraldatenbank in eine Arbeitsdatenbank übertragen. In der Arbeitsdatenbank wird die Attestierung eingerichtet und durchgeführt. Die Ergebnisse der Attestierung werden in die Zentraldatenbank übernommen. Anschließende Prozesse, wie beispielsweise der Entzug von Berechtigungen nach einer abgelehnten Attestierung oder Risikoindexberechnungen, werden in der Zentraldatenbank ausgeführt.

Detaillierte Informationen zum Thema

Voraussetzungen für die Zentraldatenbank

Es gelten die Voraussetzungen und Hinweise für die Anbindung einer One Identity Manager-Datenbank, wie im One Identity Manager Anwenderhandbuch für den One Identity Manager Konnektor beschrieben.

Voraussetzungen
  • Die Zentraldatenbank hat mindestens die Version 8.2.

  • In der Zentraldatenbank ist das Servicemodul Systemsynchronisation (ISM) installiert.

    • Deaktivieren Sie den Konfigurationsparameter ISM | PrimaryDB | AppServer. Die Verbindungsparameter zur Zentraldatenbank werden in der Arbeitsdatenbank konfiguriert.

  • Auch wenn Arbeits- und Zentraldatenbank die gleiche Produktversion haben, wird empfohlen die Zentraldatenbank über einen Anwendungsserver anzubinden und die benötigten Plugins zu aktivieren. Nur so kann die Funktion zum automatischen Entzug von Berechtigungen nach abgelehnter Attestierung genutzt werden.

In der Zentraldatenbank kann das Modul Attestierung vorhanden sein, es muss jedoch nicht. Unabhängig davon, werden die Konfiguration der Attestierung, wie Attestierungsrichtlinien oder Entscheidungsworkflows, und die Attestierungsvorgänge selbst, nicht mit der Zentraldatenbank synchronisiert. Es werden lediglich die Ergebnisse der Attestierungen übertragen, um in der Zentraldatenbank die Auswertung und weitere Verarbeitung der Ergebnisse zu ermöglichen.

Verwandte Themen

Arbeitsdatenbank einrichten

Stellen Sie sicher, dass die minimalen Systemanforderungen für die Installation der Arbeitsdatenbank erfüllt sind. Ausführliche Informationen finden Sie im One Identity Manager Installationshandbuch.

Um die Arbeitsdatenbank einzurichten

  1. Installieren Sie eine Arbeitsdatenbank mit mindestens der Version 8.2.

    • Installieren Sie die gleichen Module, wie in der Zentraldatenbank, einschließlich dem Servicemodul Systemsynchronisation.

    • Installieren Sie zusätzlich das Modul Attestierung (ATT).

  2. Richten Sie einen Jobserver ein, der die Verarbeitung von SQL Prozessen für die Arbeitsdatenbank übernimmt.

  3. Um das Web Portal für Attestierungen nutzen zu können,

    1. Installieren Sie einen Anwendungsserver.

    2. Installieren Sie einen API Server.

    Ausführliche Informationen dazu finden Sie im One Identity Manager Installationshandbuch.

  4. Aktivieren Sie in der Arbeitsdatenbank die folgenden Konfigurationsparameter und geben Sie die Verbindungsdaten zum Anwendungsserver der Zentraldatenbank an.

    Nutzen Sie die selben Einstellungen, die auch bei der Einrichtung der Synchronisation zwischen Zentral- und Arbeitsdatenbank verwendet werden.

    • ISM | PrimaryDB | AppServer | AuthenticationString:

      Authentifizierungsdaten zum Aufbau einer Verbindung über die REST API des Anwendungsservers der Zentraldatenbank.

      Syntax: Module=<Authentication module>;<Property1>=<Value1>;<Property2>=<Value2>,…

      Erlaubt sind alle Authentifizierungsmodule, die der angesprochene Anwendungsserver zur Verfügung stellt. Ausführliche Informationen zu den Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

      Empfohlene Werte sind:

      • Module=DialogUser;User=<user name>;Password=<password>

      • Module=DialogUserAccountBased

      • Module=Token

        Für die Authentifizierung über ein OAuth 2.0/OpenID Connect Zugriffstoken geben Sie im Konfigurationsparameter ConnectionString zusätzlich ClientId, ClientSecret und TokenEndpoint an. Ausführliche Informationen zur OAuth 2.0/OpenID Connect Authentifizierung finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung

    • ISM | PrimaryDB | AppServer | ConnectionString:

      Verbindungsparameter für den Aufbau der Verbindung über die REST API des Anwendungsservers der Zentraldatenbank.

      Syntax: Url=<URL des Anwendungsservers>

      Wenn im Konfigurationsparameter AuthenticationString Module=Token gesetzt ist, werden zusätzlich folgende Parameter benötigt:

      • ClientId: Client-ID für die Authentifizierung am Tokenendpunkt

      • ClientSecret: Secret-Wert für die Authentifizierung am Tokenendpunkt

      • TokenEndpoint: URL des Tokenendpunktes

      Syntax: Url=<URL des Anwendungsservers>;ClientId=<Client-ID>;ClientSecret=<Secret>;TokenEndpoint=<Tokenendpunkt>

Verwandte Themen

Synchronisation zwischen Zentral- und Arbeitsdatenbank einrichten

Die Synchronisation zwischen Arbeits- und Zentraldatenbank übernimmt der One Identity Manager Konnektor. Sie können die Synchronisation durch Individualkonfiguration einrichten und dabei komplett manuell konfigurieren. Um sicherzustellen, dass alle für die Attestierung benötigten Daten in die Arbeitsdatenbank übertragen und die Ergebnisse der Attestierung rückübertragen werden, richten Sie die Systemsynchronisation ein. Dabei unterstützt der One Identity Manager Sie mit bereitgestellten Skripten.

Durch die Systemsynchronisation erstellen Sie ein Abbild ausgewählter Anwendungsdaten der Zentraldatenbank in der Arbeitsdatenbank. Die Synchronisationskonfiguration wird anhand ausgewählter Kriterien komplett automatisch erzeugt. Das Synchronisationsprojekt wird auf der Arbeitsdatenbank eingerichtet.

Um die Systemsynchronisation einzurichten gehen Sie wie im One Identity Manager Anwenderhandbuch für den One Identity Manager Konnektor beschrieben vor.

Um die Systemsynchronisation einzurichten

  1. Statten Sie One Identity Manager Benutzer mit den erforderlichen Berechtigungen für die Einrichtung der Synchronisation aus.

  2. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  3. Bestimmen Sie, welche Anwendungsdaten attestiert werden sollen.

    1. Kennzeichnen Sie im Designer die dafür benötigten Tabellen und Spalten. Sie können dafür die bereitgestellten Skripte nutzen.

      HINWEIS: Durch die Skripte werden alle Tabellen und Spalten ausgewählt, welche attestierbare Anwendungsdaten enthalten. Wenn nur ein begrenzter Ausschnitt dieser Anwendungsdaten attestiert werden soll, können Sie die benötigten Tabellen und Spalten auch manuell kennzeichnen.

    2. Prüfen Sie die automatisch ausgewählten Tabellen und Spalten. Sie können die Auswahl an Ihre Anforderungen anpassen.

  4. Generieren Sie mit dem Synchronization Editor ein Synchronisationsprojekt.

    Nutzen Sie bei der Auswahl des Datenbanksystems die selben Einstellungen, die in den Konfigurationsparametern unter ISM | PrimaryDB | AppServer angegeben sind.

  1. Starten Sie die initiale Synchronisation.

Um die Tabellen und Spalten automatisch zu kennzeichnen

Führen Sie die folgenden Skripte mit einem geeigneten Programm zur Ausführung von SQL Abfragen auf der angegebenen Datenbank aus. Die Skripte befinden sich auf dem Installationsmedium im Verzeichnis ATT\dvd\AddOn\SDK\SystemSyncPreConfig.

  1. Führen Sie auf der Arbeitsdatenbank das Skript AttestationInAnotherOneIMDB_Part1_GeneralConfig.sql aus.

    Das Skript nimmt einige allgemeine Einstellungen vor.

  2. Führen Sie auf der Zentraldatenbank das Skript AttestationInAnotherOneIMDB_Part1_GeneralConfig.sql aus.

  3. Führen Sie auf der Arbeitsdatenbank das Skript AttestationInAnotherOneIMDB_Part2_TableConfig.sql aus.

    Das Skript wählt alle erforderlichen Tabellen aus und setzt die benötigten Werte für die Tabelleneigenschaften.

  4. Führen Sie auf der Arbeitsdatenbank das Skript AttestationInAnotherOneIMDB_Part3_ColumnConfig.sql aus.

    Das Skript wählt alle erforderlichen Spalten aus und legt die Mappingrichtung fest.

  5. Prüfen Sie die ausgewählten Tabellen und Spalten sowie die gesetzten Eigenschaften und passen Sie diese bei Bedarf an Ihre Anforderungen an.

HINWEIS:

  • Wenn Sie die zu synchronisierenden Tabellen oder Spalten ändern, nachdem das Synchronisationsprojekt generiert wurde, wird das Synchronisationsprojekt automatisch aktualisiert.

  • An einem generierten Synchronisationsprojekt dürfen nur die Verbindungsdaten zu den verbundenen Systemen manuell geändert werden.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating