Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Einschränken der Attestierungsobjekte für die Zertifizierung

Wichtig: Für unternehmensspezifische Anpassungen der Standardattestierung Zertifizierung neuer Benutzer sind Änderungen an One Identity Manager-Objekten erforderlich. Nutzen Sie für diese Änderungen immer eine unternehmensspezifische Kopie des jeweiligen Objekts!

Es kann notwendig sein, die Attestierung neuer Benutzer auf bestimmte Identitätengruppen einzuschränken, beispielsweise wenn nur neue Identitäten einer bestimmten Abteilung attestiert werden sollen. Dafür können Sie die Bedingung an der Attestierungsrichtlinie erweitern. Erstellen Sie dafür eine unternehmensspezifische Attestierungsrichtlinie.

Damit die Attestierung neuer Benutzer mit dieser Attestierungsrichtlinie durchgeführt werden kann, müssen folgende Objekte angepasst werden. Erstellen Sie dafür immer eine Kopie des jeweiligen Objekts.

  • Attestierungsrichtlinie Zertifizierung neuer Benutzer
  • Prozess VI_Attestation_Person_new_AttestationCase_for_Certification
  • Prozess VI_Attestation_AttestationCase_Person_Approval_Granted
  • Prozess VI_Attestation_AttestationCase_Person_Approval_Dismissed

Wichtig: Damit die Attestierung im Web Portal fehlerfrei durchgeführt werden kann, müssen der Attestierungsrichtlinie das Standard-Attestierungsverfahren Zertifizierung von Benutzern und die Standard-Entscheidungsrichtlinie Zertifizierung von Benutzern zugeordnet sein.

Das Standard-Attestierungsverfahren, die Standard-Entscheidungsrichtlinie und der Standard-Entscheidungsworkflow Zertifizierung von Benutzern dürfen nicht verändert werden.

Um die standardmäßige Attestierung neuer Benutzer unternehmensspezifisch anzupassen

  1. Kopieren Sie die Attestierungsrichtlinie Zertifizierung neuer Benutzer und passen Sie die Kopie an.

    Tabelle 57: Eigenschaften der Attestierungsrichtlinie

    Eigenschaft

    Wert

    Attestierungsverfahren

    Zertifizierung von Benutzern

    Entscheidungsrichtlinie

    Zertifizierung von Benutzern

    Bedingung bearbeiten

    Die Standardbedingung muss unverändert übernommen werden, damit die korrekten Attestierungsobjekte ausgewählt werden.

    Um die Menge der Attestierungsobjekte einzuschränken, kann die Datenbankabfrage um zusätzliche Teilbedingungen erweitert werden.

  2. Kopieren Sie im Designer den Prozess VI_Attestation_Person_new_AttestationCase_for_Certification des Basisobjekts Person und passen Sie die Kopie an.

    Tabelle 58: Prozesseigenschaften mit Änderungen

    Prozessschritt

    Parameter

    Änderung

    Create attestation instance

    WhereClause

    Ersetzen Sie die UID der Attestierungsrichtlinie Zertifizierung neuer Benutzer durch die UID der neuen Attestierungsrichtlinie.

  3. Kopieren Sie im Designer den Prozess VI_Attestation_AttestationCase_Person_Approval_Granted des Basisobjekts AttestationCase und passen Sie die Kopie an.

    Tabelle 59: Prozesseigenschaften mit Änderungen

    Prozesseigenschaft

    Änderung

    Prä-Skript zur Generierung

    Ersetzen Sie die UID der Attestierungsrichtlinie Zertifizierung neuer Benutzer durch die UID der neuen Attestierungsrichtlinie.

    Generierungsbedingung

  4. Kopieren Sie im Designer den Prozess VI_Attestation_AttestationCase_Person_Approval_Dismissed des Basisobjekts AttestationCase und passen Sie die Kopie an.

    Tabelle 60: Prozesseigenschaften mit Änderungen

    Prozesseigenschaft

    Änderung

    Prä-Skript zur Generierung

    Ersetzen Sie die UID der Attestierungsrichtlinie Zertifizierung neuer Benutzer durch die UID der neuen Attestierungsrichtlinie.

    Generierungsbedingung

Ausführliche Informationen zum Bearbeiten von Prozessen finden Sie im One Identity Manager Konfigurationshandbuch.

Detaillierte Informationen zum Thema

Rezertifizierung vorhandener Benutzer

Wichtig: Als Ergebnis der Rezertifizierung wird One Identity Manager Benutzern möglicherweise der Zugang zu den angeschlossenen Zielsystemen entzogen. Das Verhalten können Sie unternehmensspezifisch konfigurieren. Lesen Sie den folgenden Abschnitt aufmerksam durch, bevor Sie die Rezertifizierungsfunktion nutzen.

Damit Unternehmen die im One Identity Manager gespeicherten Identitätenstammdaten regelmäßig überprüfen und autorisieren können, stellt der One Identity Manager eine Attestierungsrichtlinie zur zyklischen Attestierung vorhandener Benutzer bereit. Die zyklische Attestierung wird durch einen zeitgesteuerten Auftrag ausgelöst. Dabei wird der Zertifizierungsstatus für alle in der Datenbank gespeicherten Identitäten neu gesetzt. Der One Identity Manager nutzt dafür das selbe Verfahren wie für die Attestierung neuer Benutzer. Der Vorgang wird als Rezertifizierung bezeichnet.

Ergebnis der Rezertifizierung
  • Identitäten, die zertifiziert und aktiviert sind und damit über alle ihnen zugewiesenen Berechtigungen im One Identity Manager und den angeschlossenen Zielsystemen verfügen.

    Unternehmensressourcen werden vererbt. Kontendefinitionen werden an interne Identitäten zugewiesen.

    - ODER -

  • Identitäten, die abgelehnt und dauerhaft deaktiviert sind.

    Deaktivierte Identitäten können sich nicht an den One Identity Manager Werkzeugen anmelden. Unternehmensressourcen werden nicht vererbt. Kontendefinitionen werden nicht automatisch zugewiesen. Mit der Identität verbundene Benutzerkonten werden gegebenenfalls gesperrt oder gelöscht. Das gewünschte Verhalten können Sie unternehmensspezifisch konfigurieren.

Rezertifizierung vorbereiten

Um die regelmäßige Attestierung von Benutzern einzurichten

  1. Aktivieren Sie im Designer die benötigten Konfigurationsparameter.

  2. Erstellen Sie einen Zeitplan und ordnen Sie diesen der Attestierungsrichtlinie Rezertifizierung von Benutzern zu. Dabei ersetzen Sie den standardmäßig zugeordneten Zeitplan.

    • Aktivieren Sie den Zeitplan.
Detaillierte Informationen zum Thema
Verwandte Themen

Ablauf der Rezertifizierung

Für die Rezertifizierung nutzt der One Identity Manager dasselbe Verfahren, wie für die Zertifizierung neuer Benutzer. Die Rezertifizierung von Benutzern wird ausgelöst, wenn

  • der Konfigurationsparamter QER | Attestation | UserApproval aktiviert ist,

  • keine Datenquelle Import an der Identität hinterlegt ist oder die Datenquelle Import nicht E-Business Suite ist und

  • der Ausführungszeitpunkt des an der Attestierungsrichtlinie Rezertifizierung von Benutzern hinterlegten Zeitplans erreicht ist.

Interne Identitäten werden durch ihre Manager attestiert. Wenn einer Identität kein Manager zugeordnet ist, ordnet zuerst ein Administrator von Identitäten einen Manager zu. Die Rezertifizierung endgültig ablehnen können nur die Administratoren von Identitäten. Wenn ein Manager die Rezertifizierung ablehnt, wird der Vorgang in jedem Fall an die Administratoren von Identitäten zur Entscheidung zurückgewiesen.

Externe Identitäten werden durch die Mitglieder der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer attestiert.

Wenn an der Identität die Option Extern deaktiviert ist, läuft die Attestierung wie im Abschnitt Anlegen neuer Identitäten durch einen Manager oder Administrator von Identitäten, Schritt 5 beschrieben ab.

Wenn an der Identität die Option Extern aktiviert ist, läuft die Attestierung wie im Abschnitt Selbstregistrierung neuer Benutzer im Web Portal, Schritt 4 bis 5 beschrieben ab.

Die Attestierer werden über die Entscheidungsrichtlinie Zertifizierung von Benutzern ermittelt.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating