Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für Complianceregeln

Complianceregeln und Identity Audit
One Identity Manager Benutzer für das Identity Audit Basisdaten für die Regelerstellung Einrichten eines Regelwerkes Regelprüfung Mailvorlagen für Benachrichtigungen über das Identity Audit
Risikomindernde Maßnahmen für Complianceregeln Konfigurationsparameter für das Identity Audit

Erteilen einer Ausnahmegenehmigung

Zuweisungen, die Regeln verletzen, können nachträglich genehmigt werden. Dafür können speziell berechtigte Identitäten Ausnahmegenehmigungen erteilen.

Voraussetzungen
  • An der Regel ist die Option Ausnahmegenehmigung möglich aktiviert.

  • Der Regel ist eine Anwendungsrolle für Ausnahmegenehmiger zugeordnet.

  • Dieser Anwendungsrolle sind Identitäten zugewiesen.

HINWEIS: Wenn die Option Ausnahmegenehmigung möglich nachträglich deaktivieren wird, werden unbearbeitete Regelverletzungen für diese Regel automatisch abgelehnt. Bereits erteilte Ausnahmegenehmigungen werden entzogen.

Für Ausnahmegenehmiger muss geregelt werden, ob sie ihre eigenen Regelverletzungen genehmigen dürfen. Standardmäßig wird eine Identität, die eine Regel verletzt, für diese Regel als Ausnahmegenehmiger ermittelt, wenn sie Mitglied der Anwendungsrolle Ausnahmegenehmiger für diese Regel ist. Damit kann sie sich eigene Regelverletzungen genehmigen.

Um zu verhindern, dass eine Identität sich selbst eine Ausnahmegenehmigung erteilt

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | ComplianceCheck | DisableSelfExceptionGranting.

    Identitäten, die eine Regel verletzen, werden nicht als Ausnahmegenehmiger für diese Regelverletzung ermittelt. Weder die Hauptidentität des Regelverletzers noch seine Subidentitäten können eine Ausnahmegenehmigung erteilen.

Detaillierte Informationen zum Thema

Zeitliche Befristung von Ausnahmegenehmigungen

Ausnahmegenehmigungen können zeitlich befristet werden. Dafür kann an jeder Regel ein Gültigkeitszeitraum für Ausnahmegenehmigungen festgelegt werden. Nach Ablauf dieses Gültigkeitszeitraums werden geltende Ausnahmegenehmigungen automatisch annulliert. Ob eine Ausnahmegenehmigung weiterhin gültig ist, wird durch einen zeitgesteuerten Prozessauftrag überprüft.

Sobald eine Ausnahmegenehmigung erteilt wird, wird das Ablaufdatum aus dem aktuellen Datum und dem an der Regel hinterlegten Gültigkeitszeitraum berechnet. Eine Änderung des Gültigkeitszeitraums ist nur für künftige Ausnahmegenehmigungen wirksam. Das Ablaufdatum für bestehende Ausnahmegenehmigungen wird dadurch nicht verändert.

Um Ausnahmegenehmigungen zeitlich zu befristen

  1. Erfassen Sie den Gültigkeitszeitraum für eine Regel.

    1. Wählen Sie im Manager die Kategorie Identity Audit > Regeln > Arbeitskopien von Regeln.

    2. Wählen Sie in der Ergebnisliste die Arbeitskopie der Regel.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Erfassen Sie auf dem Tabreiter Allgemein, im Eingabefeld Max. Tage gültig die Anzahl der Tage, die Ausnahmegenehmigungen für diese Regel gelten dürfen.

      Wenn der Wert 0 ist, sind die Ausnahmegenehmigungen unbefristet gültig.

    5. Speichern Sie die Änderungen.
    6. Um die Änderung auf die aktive Regel zu übertragen, wählen Sie die Aufgabe Arbeitskopie aktivieren.

  2. Konfigurieren und aktivieren Sie im Designer den Zeitplan Zurücksetzen von Ausnahmegenehmigungen für Complianceverletzungen.

Ausführliche Informationen zum Einrichten von Zeitplänen finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.

Ausnahmegenehmigungen im Manager erteilen

Um Regelverletzungen zu bearbeiten und Ausnahmegenehmigungen zu erteilen, nutzen Sie standardmäßig das Web Portal. Sie können Ausnahmegenehmigungen jedoch auch im Manager erteilen. Melden Sie sich dazu nicht-rollenbasiert am Manager an. Bei rollenbasierter Anmeldung steht diese Funktion im Manager nicht zur Verfügung.

Um Ausnahmegenehmigungen für alle Identitäten zu erteilen, die eine bestimmte Regel verletzen

  1. Wählen Sie im Manager die Kategorie Identity Audit > Regelverletzungen.

  2. Wählen Sie in der Ergebnisliste die Regelverletzung.

  3. Wählen Sie die Aufgabe Regelverletzungen anzeigen.

  4. Wählen Sie per Maus-Doppelklick die Identität, der Sie eine Ausnahmegenehmigung erteilen möchten.

    Das Formular Regelverletzung bearbeiten wird geöffnet.

  5. Um Detailinformationen über die Identität zu erhalten, klicken Sie auf die Identität.

  6. Um Überblicksinformationen zur Regelverletzung zu erhalten, klicken Sie auf die Regelverletzung.

  7. Erfassen Sie eine Begründung.

  8. Um die Regelverletzung für diese Identität zu genehmigen, klicken Sie Ausnahme genehmigen.

    Auf dem Formular werden die Eingabefelder Entscheider und Entscheidung am sowie die Optionen Ausnahme ist genehmigt und Geprüft ausgefüllt.

  9. Um die Ausnahmegenehmigung für diese Identität abzulehnen, klicken Sie Ausnahme ablehnen.

    Auf dem Formular werden die Eingabefelder Entscheider und Entscheidung am sowie die Option Geprüft ausgefüllt.

  10. Speichern Sie die Änderungen.

Um Ausnahmegenehmigungen für alle Regeln zu erteilen, gegen die eine bestimmte Identität verstößt

  1. Wählen Sie im Manager die Kategorie Identitäten > Identitäten.

  2. Wählen Sie in der Ergebnisliste die Identität.

  3. Wählen Sie den Bericht Regelauswertung.

  4. Wählen Sie per Maus-Doppelklick die Regelverletzung, für die Sie der Identität eine Ausnahmegenehmigung erteilen möchten.

    Das Formular Regelverletzung bearbeiten wird geöffnet.

  5. Um Detailinformationen über die Identität zu erhalten, klicken Sie auf die Identität.

  6. Um Überblicksinformationen zur Regelverletzung zu erhalten, klicken Sie auf die Regelverletzung.

  7. Erfassen Sie eine Begründung.

  8. Um die Regelverletzung für diese Identität zu genehmigen, klicken Sie Ausnahme genehmigen.

    Auf dem Formular werden die Eingabefelder Entscheider und Entscheidung am sowie die Optionen Ausnahme ist genehmigt und Geprüft ausgefüllt.

  9. Um die Ausnahmegenehmigung für diese Identität abzulehnen, klicken Sie Ausnahme ablehnen.

    Auf dem Formular werden die Eingabefelder Entscheider und Entscheidung am sowie die Option Geprüft ausgefüllt.

  10. Speichern Sie die Änderungen.
Verwandte Themen

Benachrichtigungen über Regelverletzungen

Im Anschluss an die Regelprüfung können E-Mail-Benachrichtigungen über neue Regelverletzungen an die Ausnahmegenehmiger und Regelverantwortlichen gesendet werden. Die Benachrichtigungsverfahren nutzen Mailvorlagen zur Erzeugung der Benachrichtigungen. In einer Mailvorlage sind die Mailtexte in verschiedenen Sprachen definiert. Somit wird bei Generierung einer E-Mail-Benachrichtigung die Sprache des Empfängers berücksichtigt. In der Standardinstallation sind bereits Mailvorlagen enthalten, die Sie zur Konfiguration der Benachrichtigungsverfahren verwenden können.

Benachrichtigungen werden standardmäßig nicht an die zentrale Entscheidergruppe versendet. Fallback-Entscheider werden nur benachrichtigt, wenn für einen Entscheidungsschritt nicht genügend Entscheider ermittelt werden können.

Um E-Mail-Benachrichtigungen zu nutzen

  1. Stellen Sie sicher, dass das E-Mail-Benachrichtungssystem im One Identity Manager konfiguriert ist. Ausführliche Informationen finden Sie im One Identity Manager Installationshandbuch.

  2. Aktivieren Sie im Designer den Konfigurationsparameter QER | ComplianceCheck | EmailNotification.

  3. Aktivieren Sie im Designer den Konfigurationsparameter QER | ComplianceCheck | EmailNotification | DefaultSenderAddress und erfassen Sie die Absenderadresse, mit der die E-Mail Benachrichtigungen verschickt werden.

  4. Stellen Sie sicher, dass alle Identitäten eine Standard-E-Mail-Adresse besitzen. An diese E-Mail Adresse werden die Benachrichtigungen versendet. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  5. Stellen Sie sicher, dass für alle Identitäten eine Sprache ermittelt werden kann. Nur so erhalten die Identitäten die E-Mail Benachrichtigungen in ihrer Sprache. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  6. Konfigurieren Sie die Benachrichtigungsverfahren.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating