Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops IT Shop mit dem Application Governance Modul nutzen Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Leistungspositionen erfassen Servicekategorien erfassen Produktspezifische Bestelleigenschaften erfassen Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Nutzungsbedingungen erfassen Schlagworte erfassen
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellungen Delegierungen Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Systemberechtigungen automatisch in den IT Shop aufnehmen Ungenutzte Anwendungsrollen für Produkteigner löschen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien für Bestellungen Entscheidungsworkflows für Bestellungen Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Entscheiden von Bestellungen eines Entscheiders Bestellungen automatisch entscheiden Entscheidungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Bestellungen Weitere Informationen zur Bestellung einholen Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung
Überblick über Bestellungen Mehrfache Bestellungen eines Produktes Zeitlich begrenzte Bestellungen Umzug des Kunden oder des Produkts in einen anderen Shop Änderung des Entscheidungsworkflows bei offenen Bestellungen Bestellungen für Mitarbeiter Managerwechsel für Mitarbeiter bestellen Bestellungen stornieren Produkte abbestellen Benachrichtigungen im Bestellprozess Entscheidung per E-Mail Entscheidung über adaptive Karten Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften Bestellungen von dauerhaft deaktivierten Identitäten Bestellungen und Stellvertretungen löschen
Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Umstrukturieren des IT Shop Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Produktpakete Empfehlungen und Hinweise zum Transportieren von IT Shop Bestandteilen mit dem Database Transporter
Beheben von Fehlern im IT Shop Konfigurationsparameter für IT Shop Status von Bestellungen Beispiele für das Ergebnis von Bestellungen

Zuweisungsbestellungen erzeugen

Zuweisungsbestellungen können für bestehende Zuweisungen von Unternehmensressourcen an hierarchische Rollen und für Mitgliedschaften von Identitäten, Geräten oder Arbeitsplätzen in hierarchischen Rollen erzeugt werden. Dafür stehen die folgenden Methoden zur Verfügung.

Tabelle 22: Methoden zur Umwandlung von Direktzuweisungen in Zuweisungsbestellungen

Methode

Beschreibung

CreateITShopOrder (string uidOrgProduct, string uidPersonOrdered, string CustomScriptName)

Erzeugt aus einer Zuweisung oder einer Mitgliedschaft eine Zuweisungsbestellung. Diese Methode kann auch auf Tabellen angewendet werden, über die keine UID_Person ermittelt werden kann.

CreateITShopOrder (string uidOrgProduct, string uidWorkdeskOrdered, string uidPersonOrdered, string CustomScriptName)

Erzeugt aus einer Zuweisung oder einer Mitgliedschaft eine Zuweisungsbestellung und speichert am Bestellvorgang zusätzlich eine UID_WorkdeskOrdered.

Damit die Bestellungen erzeugt werden können, muss der IT Shop entsprechend vorbereitet sein.

Um Zuweisungsbestellungen aus Direktzuweisungen an hierarchische Rollen und Rollenmitgliedschaften zu erzeugen

  1. Wählen Sie eine Zuweisungsressource aus dem Regal IT Shop > Identity & Access Lifecycle > Regal: Identity Lifecycle aus.

    • Übergeben Sie die UID_ITShopOrg dieses Produkts als Parameter uidOrgProduct an die Methode.

  2. Wählen Sie eine Identität aus dem Kundenknoten des Shops IT Shop > Identity & Access Lifecycle als Besteller für die Zuweisungsbestellung aus.

    • Übergeben Sie die UID_Person dieser Identität als Parameter uidPersonOrdered an die Methode.

  3. (Optional) Erstellen Sie ein Skript, das weitere Eigenschaften der Bestellungen besetzt.

    • Übergeben Sie den Skriptnamen als Parameter CustomScriptName an die Methode.

  4. Erstellen Sie ein Skript, das die Methode CreateITShopOrder (string uidOrgProduct, string uidPersonOrdered, string CustomScriptName) für die betroffenen Tabellen ausführt.

TIPP: Sie können auch eine eigene Zuweisungsressource erstellen und diese an ein Regal in einem beliebigen Shop zuweisen. Wählen Sie eine Identität aus dem Kundenknoten dieses Shops als Besteller für die Zuweisungsbestellung. Weitere Informationen finden Sie unter Zuweisungsbestellungen anpassen.

Der One Identity Manager erzeugt folgendermaßen die Zuweisungsbestellungen aus vorhandenen Zuweisungen an hierarchische Rollen:

  1. Ermitteln der hierarchischen Rollen und ihrer zugewiesenen Unternehmensressourcen oder Mitglieder (Identitäten, Geräte oder Arbeitsplätze).

  2. Ermitteln des Bestellers aus dem Parameter uidPersonOrdered.

  3. Ermitteln der Zuweisungsressource aus dem Parameter uidOrgProduct.

  4. Ermitteln des Shops, dem die Zuweisungsressource und der Besteller zugewiesen sind.

  1. Erzeugen der Bestellungen mit initialen Daten.
  2. Ausführen kundenspezifischer Skripte.
  3. Speichern der Bestellungen (Eintrag in Tabelle PersonWantsOrg).

  1. Umwandeln der direkten Zuweisungen der Unternehmensressourcen an die hierarchischen Rollen in indirekte Zuweisungen (zum Beispiel in der Tabelle DepartmentHasQERResource). Umwandeln der direkten Mitgliedschaften in den hierarchischen Rollen in indirekte Mitgliedschaften (zum Beispiel in der Tabelle PersonInDepartment).

Soll die Zuweisungsbestellung für einen Arbeitsplatz erzeugt werden, übergeben Sie der Methode zusätzlich die UID_WorkDesk des Arbeitsplatzes als Parameter uidWorkdeskOrdered. Die Methode speichert diese UID als UID_WorkdeskOrdered in der Bestellung (Tabelle PersonWantsOrg).

Detaillierte Informationen zum Thema
Verwandte Themen

Systemberechtigungen automatisch in den IT Shop aufnehmen

Mit den folgenden Schritten können Systemberechtigungen automatisch in den IT Shop aufgenommen werden. Die Synchronisation sorgt dafür, dass die Systemberechtigungen in den IT Shop aufgenommen werden. Bei Bedarf können Sie die Synchronisation im Synchronization Editor sofort starten. Systemberechtigungen, die im One Identity Manager neu erstellt werden, werden ebenfalls automatisch in den IT Shop aufgenommen.

Um Systemberechtigungen automatisch in den IT Shop aufzunehmen

  1. Abhängig von den vorhandenen Modulen, aktivieren Sie im Designer die Konfigurationsparameter für die automatische Aufnahme von Systemberechtigungen in den IT Shop.

    Beispiel: QER | ITShop | AutoPublish | ADSGroup und QER | ITShop | AutoPublish | ADSGroup | ExcludeList

    GeschlossenListe der relevanten Konfigurationsparameter

  2. Kompilieren Sie die Datenbank.

Die Systemberechtigungen werden ab diesem Zeitpunkt automatisch in den IT Shop aufgenommen.

Folgende Schritte werden bei der Aufnahme einer Systemberechtigung in den IT Shop automatisch ausgeführt.

  1. Es wird eine Leistungsposition für die Systemberechtigung ermittelt.

    Für jede Systemberechtigung wird die Leistungsposition geprüft und bei Bedarf angepasst. Die Bezeichnung der Leistungsposition entspricht der Bezeichnung der Systemberechtigung.

    • Für Systemberechtigungen mit Leistungsposition wird die Leistungsposition angepasst.

    • Systemberechtigungen ohne Leitungsposition erhalten eine neue Leistungsposition.

  2. Die Leistungsposition wird einer der Standard-Servicekategorien zugeordnet.

  3. Es wird eine Anwendungsrolle für Produkteigner ermittelt und der Leistungsposition zugeordnet. Ausführliche Informationen dazu finden Sie im jeweiligen Administrationshandbuch für die Anbindung einer Zielsystemumgebung.

    Die Produkteigner können Bestellungen von Mitgliedschaften in diesen Systemberechtigungen genehmigen.

  4. Die Systemberechtigung wird mit der Option IT Shop gekennzeichnet und dem entsprechenden IT Shop Regal im Shop Identity & Access Lifecycle zugewiesen.

Anschließend können die Kunden des Shops Mitgliedschaften in Systemberechtigungen über das Web Portal bestellen.

HINWEIS: Wenn eine Systemberechtigung endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.

Verwandte Themen

Ungenutzte Anwendungsrollen für Produkteigner löschen

Da bei der automatischen Übernahme von Gruppen in den IT Shop für jeden Kontomanager einer Gruppe eine eigene Anwendungsrolle angelegt wird, wird die Liste der Anwendungsrollen für Produkteigner schnell unübersichtlich. Wenn Gruppen gelöscht werden, werden diese Anwendungsrollen gegebenenfalls nicht mehr benötigt.

Nicht benötigte Anwendungsrollen für Produkteigner können über einen zeitgesteuerten Prozessauftrag gelöscht werden. Dabei werden alle Anwendungsrollen aus der Datenbank gelöscht, für die Folgendes gilt:

  • Die übergeordnete Anwendungsrolle ist Request & Fulfillment | IT Shop | Produkteigner.

  • Die Anwendungsrolle ist keiner Leistungsposition zugeordnet.

  • Die Anwendungsrolle ist keiner Servicekategorie zugeordnet.

  • Die Anwendungsrolle hat keine Mitglieder.

Um nicht benötigte Anwendungsrollen mit Mitgliedern anzuzeigen

  • Wählen Sie im Manager die Kategorie IT Shop > Fehlerdiagnose > Verwaiste Produkeigner.

Um Anwendungsrollen automatisiert zu löschen

  • Konfigurieren und aktivieren Sie im Designer den Zeitplan Bereinigen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner.

HINWEIS: Wenn Sie unterhalb der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner eigene Anwendungsrollen eingerichtet haben, die Sie für kundenspezifische Anwendungsfälle (Tabellen) nutzen, dann prüfen Sie, ob diese automatisch gelöscht werden dürfen. Andernfalls deaktivieren Sie den Zeitplan Bereinigen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner.

Verwandte Themen

Genehmigungsverfahren für IT Shop-Bestellungen

Alle Bestellungen im IT Shop durchlaufen ein definiertes Genehmigungsverfahren. Während dieses Genehmigungsverfahrens entscheiden autorisierte Identitäten positiv oder negativ über die Zuweisung des Produktes. Diese Genehmigungsverfahren können Sie variabel gestalten und somit an Ihre unternehmensspezifischen Richtlinien anpassen.

Für Genehmigungsverfahren definieren Sie Entscheidungsrichtlinien und Entscheidungsworkflows. In Entscheidungsrichtlinien legen Sie fest, welche Entscheidungsworkflows auf eine Bestellung angewendet werden sollen. Über Entscheidungsworkflows ermitteln Sie, welche Identität, zu welchem Zeitpunkt einer Bestellung die Bestellung genehmigen oder ablehnen kann. Ein Entscheidungsworkflow kann mehrere Entscheidungsebenen und diese mehrere Entscheidungsschritte enthalten, wenn beispielsweise mehrere Hierarchien der Leitungsebene über eine Bestellung entscheiden müssen. In jedem Entscheidungsschritt werden über spezielle Entscheidungsverfahren die verantwortlichen Entscheider ermittelt.

In der Standardinstallation sind dem Shop Identity & Access Lifecycle verschiedene Standard-Entscheidungsrichtlinien zugewiesen. Damit durchlaufen die Bestellungen aus diesem Shop vordefinierte Genehmigungsverfahren. Sollen Bestellungen aus diesem Shop kundenspezifische Genehmigungsverfahren durchlaufen, weisen Sie dem Shop, dem Regal oder den Leistungspositionen des Regals Identity & Access Lifecycle kundenspezifische Entscheidungsrichtlinien zu.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating