Regelprüfung nach Änderungen
Beim Ändern und Löschen einer produktiven Regel wird der Verarbeitungsauftrag für die Regelprüfung sofort erzeugt. Alle Personen werden auf Erfüllung der betroffenen Regel geprüft.
Bei bestimmten Änderungen an den Berechtigungen können die Berechnungsaufträge zur Prüfung der Regeln sofort oder zyklisch eingestellt werden. Das gewünschte Verhalten legen Sie über den Konfigurationsparameter QER | ComplianceCheck | CalculateImmediately fest. Wenn der Parameter aktiviert ist, wird der Verarbeitungsauftrag zur Neuberechnung von Regelverletzungen für eine Person sofort eingestellt. Ist der Parameter nicht aktiviert, wird der Verarbeitungsauftrag beim nächsten Lauf des zeitgesteuerten Auftrags eingestellt.
Um Regelprüfungen sofort nach relevanten Änderung zu veranlassen
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | ComplianceCheck | CalculateImmediately.
Der Verarbeitungsauftrag zur Neuberechnung von Regelverletzungen für eine Person wird bei relevanten Änderungen sofort eingestellt.
HINWEIS: Der Konfigurationsparameter wirkt nur bei relevanten Datenänderungen. Dazu gehören:
-
Änderung der Personenstammdaten
-
Änderung der Zuweisungen an Personen (beispielsweise Tabelle PersonHasQERResource)
-
Änderung der Rollenmitgliedschaften von Personen
-
Änderung der Mitgliedschaften in Systemberechtigungen (beispielsweise Tabelle ADSAccountInADSGroup)
-
Änderung der Treffer einer SAP Funktion (Tabelle SAPUserInSAPFunction)
Ad-hoc-Regelprüfung
An einer Regel stehen verschiedene Aufgaben zur sofortigen Regelprüfung zur Verfügung.
Tabelle 26: Zusätzliche Aufgaben einer Regel
Regel neu berechnen |
Alle Personen werden auf die Einhaltung der aktuellen Regel geprüft. |
Neu berechnen für den angemeldeten Nutzer |
Die angemeldete Person wird auf die Einhaltung aller Regeln geprüft. |
Alles neu berechnen |
Alle Personen werden auf die Einhaltung aller Regeln geprüft. |
Beschleunigen der Regelprüfung
Die zeitgesteuerte Regelprüfung kann unter verschiedenen Bedingungen sehr lange laufen. Das kann beispielsweise der Fall sein, wenn zahlreiche Regeln existieren, in denen die betroffene Personengruppe nicht eingeschränkt ist ("Diese Regel wird von allen Mitarbeitern gebrochen"). Der One Identity Manager stellt zwei Konsistenzprüfungen bereit, mit denen die Berechnung der betroffenen Personengruppen für eine Performanceverbesserung optimiert werden kann. Dabei wird die Datenmenge in der Hilfstabelle verringert.
Um die Regelprüfung zu optimieren, starten Sie diese Konsistenzprüfungen und reparieren Sie die ermittelten Regeln.
Um die Konsistenzprüfung auszuführen
-
Wählen Sie im Manager den Menüeintrag Datenbank > Datenkonsistenz überprüfen.
-
Klicken Sie in der Symbolleiste des Konsistenzeditors .
-
Klicken Sie in der Symbolleiste des Dialogfensters für die Testoptionen .
-
Aktivieren Sie die Tests Content > Compliance > ComplianceRule change IsPersonStoreInverted to 1 und Content > Compliance > ComplianceRule change IsPersonStoreInverted to 0.
- Klicken Sie OK.
-
Führen Sie die Konsistenzprüfung für das Objekt Datenbank durch.
-
Prüfen Sie die Analyseergebnisse.
TIPP: Um Details zu einer Fehlermeldung zu erhalten
-
Wählen Sie die Fehlermeldung.
-
Klicken Sie in der Symbolleiste .
-
Um die Regelbedingung für eine betroffene Regel zu optimieren
-
Wählen Sie die Fehlermeldung.
-
Klicken Sie Reparieren sowohl für die originale Regel, als auch für die Arbeitskopie.
Ausführliche Informationen zu Konsistenzprüfungen finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.
Verwandte Themen
Auswertung der Regelprüfung
Jede Regel verweist auf ein eigenes Objekt für Regelverletzungen (Tabelle NonCompliance). Personen, die eine Regel verletzen, werden diesem Objekt zugewiesen (Tabelle PersonInNonCompliance). Zur Auswertung der Regelprüfung stehen zwei Formulare zur Verfügung, die folgende Fragen klären sollen: