Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Attestierung von Systemrollen

Installierte Module: Systemrollenmodul

Wenn Sie Mitgliedschaften in Systemrollen attestieren, können Sie den automatischen Entzug der Systemrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | ESetAssignment konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Identität die Systemrolle erhalten hat.

Tabelle 45: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDirect

Die direkte Mitgliedschaft in der Systemrolle wird entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Systemrolle erhalten hat.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemovePrimaryRole

Wurde die Systemrolle über eine primäre Rolle vererbt, wird der Identität diese Rolle entzogen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveRequestedRole

Wurde die Systemrolle über eine bestellte Rolle vererbt, wird die Bestellung der Rolle abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDelegatedRole

Wurde die Systemrolle über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveRequested

Wurde die Systemrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Systemrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDirectRole

Wurde die Systemrolle über eine sekundäre Rolle (Organisation oder Geschäftsrolle) vererbt, wird die Mitgliedschaft der Identität in dieser Rolle entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDynamicRole

Wurde die Systemrolle über eine dynamische Rolle vererbt, wird die Identität aus der dynamischen Rolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Rolle erhalten hat.

Wenn Sie Zuweisungen an Systemrollen attestieren, können Sie den automatischen Entzug der Zuweisungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | ESetHasEntitlement konfigurieren.

Tabelle 46: Wirkung des Konfigurationsparameters bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | ESetHasEntitlement | RemoveDirect

Die Zuweisung der Unternehmensressource an eine Systemrolle wird entfernt.

QER | Attestation | AutoRemovalScope | ESetHasEntitlement | RemoveRequested

Die per Zuweisungsbestellung bestellte Zuweisung der Unternehmensressource an eine Systemrolle wird abbestellt.

Wenn Sie Zuweisungen von Systemrollen an hierarchische Rollen attestieren, können Sie den automatischen Entzug der Systemrollen über folgende Konfigurationsparameter konfigurieren.

Tabelle 47: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | DepartmentHasESet | RemoveDirect

Die Zuweisung der Systemrolle an eine Abteilung wird entfernt.

Damit wird allen Identitäten, die Zuweisungen von dieser Abteilung erben, die Systemrolle entzogen.

QER | Attestation | AutoRemovalScope | ProfitCenterHasESet | RemoveDirect

Die Zuweisung der Systemrolle an eine Kostenstelle wird entfernt.

Damit wird allen Identitäten, die Zuweisungen von dieser Kostenstelle erben, die Systemrolle entzogen.

QER | Attestation | AutoRemovalScope | LocalityHasESet | RemoveDirect

Die Zuweisung der Systemrolle an einen Standort wird entfernt.

Damit wird allen Identitäten, die Zuweisungen von diesem Standort erben, die Systemrolle entzogen.

QER | Attestation | AutoRemovalScope | OrgHasESet | RemoveDirect

Die Zuweisung der Systemrolle an eine Geschäftsrolle wird entfernt.

Damit wird allen Identitäten, die Zuweisungen von dieser Geschäftsrolle erben, die Systemrolle entzogen.

Attestierung von Anwendungsrollen

Wenn Sie Mitgliedschaften in Anwendungsrollen attestieren, können Sie den automatischen Entzug der Anwendungsrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | AERoleMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Identität Mitglied in der Anwendungsrolle wurde.

Tabelle 48: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDirectRole

Die sekundäre Mitgliedschaft der Identität in der Anwendungsrolle wird entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Anwendungsrolle erhalten hat. Mitgliedschaften in dynamischen Rollen werden dadurch nicht entfernt.

QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveRequestedRole

Hat die Identität die Anwendungsrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Anwendungsrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren.

QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDelegatedRole

Wurde die Anwendungsrolle an die Identität delegiert, wird die Delegierung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Anwendungsrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren.

QER | Attestation | AutoRemovalScope | AERoleMembership | RemoveDynamicRole

Die Identität wird aus der dynamischen Rolle der Anwendungsrolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Anwendungsrolle erhalten hat. Auf anderem Weg entstandene Mitgliedschaften in der Anwendungsrolle werden dadurch nicht entfernt

Attestierung von Geschäftsrollen

Installierte Module: Geschäftsrollenmodul

Wenn Sie Mitgliedschaften in Geschäftsrollen attestieren, können Sie den automatischen Entzug der Geschäftsrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | RoleMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Identität Mitglied in der Geschäftsrolle wurde.

Tabelle 49: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | RoleMembership | RemoveDirectRole

Die sekundäre Mitgliedschaft der Identität in der Geschäftsrolle wird entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Geschäftsrolle erhalten hat. Mitgliedschaften in dynamischen Rollen werden dadurch nicht entfernt!

QER | Attestation | AutoRemovalScope | RoleMembership | RemoveRequestedRole

Hat die Identität die Geschäftsrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Geschäftsrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren.

QER | Attestation | AutoRemovalScope | RoleMembership | RemoveDelegatedRole

Wurde die Geschäftsrolle an die Identität delegiert, wird die Delegierung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Geschäftsrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Entzug von Berechtigungen konfigurieren.

QER | Attestation | AutoRemovalScope | RoleMembership | RemoveDynamicRole

Die Identität wird aus der dynamischen Rolle der Geschäftsrolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Identität über diese Geschäftsrolle erhalten hat. Auf anderem Weg entstandene Mitgliedschaften in der Geschäftsrolle werden dadurch nicht entfernt.

Stichprobenattestierung von Identitäten und ihren Berechtigungen konfigurieren

Der Standard-Richtlinienverbund Attestierung von Identitäten fasst alle Standard-Attestierungsrichtlinien zusammen, um Identitäten mit all ihren Berechtigungen und Mitgliedschaften zu attestieren. Dem Richtlinienverbund ist eine Standardstichprobe zugeordnet, mit der Sie die Identitäten festlegen, die attestiert werden sollen.

Um die umfassende Attestierung für ausgewählte Identitäten einzurichten

  1. Weißen Sie der Stichprobe Individuelle Auswahl von Identitäten die Identitäten manuell zu, die attestiert werden sollen.

  2. Erstellen Sie einen Zeitplan und ordnen Sie diesen dem Richtlinienverbund Attestierung von Identitäten zu. Dabei ersetzen Sie den standardmäßig zugeordneten Zeitplan.

    • Aktivieren Sie den Zeitplan.
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating