Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für Complianceregeln

Complianceregeln und Identity Audit
One Identity Manager Benutzer für das Identity Audit Basisdaten für die Regelerstellung Einrichten eines Regelwerkes Regelprüfung Mailvorlagen für Benachrichtigungen über das Identity Audit
Risikomindernde Maßnahmen für Complianceregeln Konfigurationsparameter für das Identity Audit

Aufforderung zur Ausnahmegenehmigung

Wenn bei der Regelprüfung neue Regelverletzungen ermittelt werden, werden die Ausnahmegenehmiger benachrichtigt und zur Entscheidung aufgefordert.

Voraussetzungen
  • Ausnahmegenehmigungen für Regelverletzungen sind zulässig.

  • Der Regel ist eine Anwendungsrolle Ausnahmegenehmiger zugeordnet.

  • Dieser Anwendungsrolle sind Identitäten zugewiesen.

Um Aufforderungen zur Ausnahmegenehmigung zu versenden

  • Erfassen Sie an der Complianceregel die folgenden Daten.

    • Ausnahmegenehmigung möglich: aktiviert

    • Mailvorlage neue Verletzung: Compliance - Neue Ausnahmegenehmigung erforderlich

      TIPP: Um eine andere als die Standardmailvorlage für diese Benachrichtigungen zu nutzen, erstellen Sie eine Mailvorlage mit dem Basisobjekt ComplianceRule.

Verwandte Themen

Benachrichtigungen über Regelverletzungen ohne Ausnahmegenehmigung

Wenn bei der Regelprüfung neue Regelverletzungen ermittelt werden, für die keine Ausnahmegenehmigung erteilt werden kann, werden die Regelverantwortlichen benachrichtigt.

Voraussetzungen
  • Ausnahmegenehmigungen für Regelverletzungen sind nicht zulässig.

  • Der Regel ist eine Anwendungsrolle Regelverantwortliche zugeordnet.

  • Dieser Anwendungsrolle sind Identitäten zugewiesen.

Um Regelverantwortliche über Regelverletzungen zu informieren

  • Erfassen Sie an der Complianceregel die folgenden Daten.

    • Ausnahmegenehmigung möglich: deaktiviert

    • Mailvorlage neue Verletzung: Compliance - Unzulässige Regelverletzung aufgetreten

      TIPP: Um eine andere als die Standardmailvorlage für diese Benachrichtigungen zu nutzen, erstellen Sie eine Mailvorlage mit dem Basisobjekt ComplianceRule.

Verwandte Themen

Ermitteln potenzieller Regelverletzungen

Zusätzlich zum Auffinden bestehender Regelverletzungen können mit dem One Identity Manager potenzielle Regelverletzungen durch IT Shop Bestellungen erkannt werden. Dafür wird in die Genehmigungsverfahren im IT Shop ein Entscheidungsschritt mit dem Entscheidungsverfahren CR - Regelprüfung (vereinfacht) eingefügt.

Um potenzielle Regelverletzungen durch IT Shop Bestellungen zu erkennen, werden Hilfstabellen für die Objektzuordnungen und die betroffenen Identitäten ausgewertet. Diese Hilfstabellen werden regelmäßig durch den DBQueue Prozessor aktualisiert. Bei Änderungen an einer Regel werden die Hilfstabellen sofort neu berechnet.

Um andere Änderungen, wie beispielsweise die Änderung einer Berechtigung oder die Änderungen einer Zusatzeigenschaft in der Regelprüfung zu erfassen, ist in der One Identity Manager-Standardinstallation der Zeitplan Befüllung der Complianceregel Objekte enthalten. Dieser Zeitplan erzeugt zyklisch die Verarbeitungsaufträge zur Aktualisierung der Hilfstabellen. Um den Zyklus für die Berechnung der Hilfstabellen an Ihre Erfordernisse anzupassen, erstellen Sie einen eigenen Zeitplan.

Um den Zyklus für die Berechnung der Hilfstabellen an Ihre Erfordernisse anzupassen

  1. Wählen Sie im Manager die Kategorie Identity Audit > Basisdaten zur Konfiguration > Zeitpläne.

  2. Klicken Sie in der Ergebnisliste .

  3. Bearbeiten Sie die Stammdaten des Zeitplans.

  4. Speichern Sie die Änderungen.
  5. Wählen Sie die Aufgabe Regeln (zur Befüllung) zuweisen und weisen Sie den Zeitplan an alle Regeln zu, für die er gelten soll.

  6. Speichern Sie die Änderungen.

Hinweis:

Die Regelprüfung erreicht keine vollständige Überprüfung der Bestellungen. Unter folgenden Bedingungen ist es möglich, dass die Regelprüfung eine Regelverletzung nicht erkennt:

  • Die Berechtigungen des Kunden ändern sich, nachdem die Hilfstabellen berechnet wurden.

  • Bei der Bestellung von Mitgliedschaften in Geschäftsrollen oder Organisationen wird eine Regel durch ein Objekt verletzt, das über die bestellte Geschäftsrolle oder Organisation vererbt wird. Die Vererbung wird erst nach der Genehmigung der Bestellung berechnet und kann damit erst nach der nächsten Berechnung der Hilfstabellen erkannt werden.

  • Der Kunde gehört erst durch die Bestellung zu den Identitäten, die von einer Regel betroffen sind.

  • Die Regelbedingung wurde im erweiterten Modus oder als SQL-Abfrage erstellt.

TIPP: Eine vollständige Prüfung der Zuweisungen wird mit der zyklischen Prüfung der Complianceregeln über Zeitpläne erreicht. Damit werden alle Regelverletzungen erkannt, die durch die Bestellungen entstanden sind.

Unter folgenden Bedingungen ist es möglich, dass die Regelprüfung eine Regelverletzung erkennt, obwohl keine Regel verletzt wird:

  • Zwei Produkte verletzen eine Regel, wenn sie gleichzeitig zugewiesen sind. Die Bestellungen dieser Produkte sind jedoch zeitlich begrenzt. Der Gültigkeitszeitraum überschneidet sich nicht. Dennoch wird eine potentielle Regelverletzung erkannt.

TIPP: Diese Bestellungen können nach Prüfung per Ausnahmegenehmigung genehmigt werden, sofern die Definition der verletzten Regel es zulässt.

Ausführliche Informationen zur Complianceprüfung von IT Shop Bestellungen finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Verwandte Themen

Mailvorlagen für Benachrichtigungen über das Identity Audit

Der One Identity Manager stellt standardmäßig Mailvorlagen bereit. Diese Mailvorlagen werden in den Sprachen Deutsch und Englisch bereitgestellt. Wenn Sie den Mailtext in anderen Sprachen benötigen, können Sie Maildefinitionen für diese Sprachen zu den Standard-Mailvorlagen hinzufügen.

Um Standard-Mailvorlagen zu bearbeiten

  • Wählen Sie im Manager die Kategorie Identity Audit > Basisdaten zur Konfiguration > Mailvorlagen > Vordefiniert.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating