Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops IT Shop mit dem Application Governance Modul nutzen Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Leistungspositionen erfassen Servicekategorien erfassen Produktspezifische Bestelleigenschaften erfassen Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Nutzungsbedingungen erfassen Schlagworte erfassen
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellungen Delegierungen Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Systemberechtigungen automatisch in den IT Shop aufnehmen Ungenutzte Anwendungsrollen für Produkteigner löschen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien für Bestellungen Entscheidungsworkflows für Bestellungen Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Entscheiden von Bestellungen eines Entscheiders Bestellungen automatisch entscheiden Entscheidungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Bestellungen Weitere Informationen zur Bestellung einholen Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung
Überblick über Bestellungen Mehrfache Bestellungen eines Produktes Zeitlich begrenzte Bestellungen Umzug des Kunden oder des Produkts in einen anderen Shop Änderung des Entscheidungsworkflows bei offenen Bestellungen Bestellungen für Mitarbeiter Managerwechsel für Mitarbeiter bestellen Bestellungen stornieren Produkte abbestellen Benachrichtigungen im Bestellprozess Entscheidung per E-Mail Entscheidung über adaptive Karten Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften Bestellungen von dauerhaft deaktivierten Identitäten Bestellungen und Stellvertretungen löschen
Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Umstrukturieren des IT Shop Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Produktpakete Empfehlungen und Hinweise zum Transportieren von IT Shop Bestandteilen mit dem Database Transporter
Beheben von Fehlern im IT Shop Konfigurationsparameter für IT Shop Status von Bestellungen Beispiele für das Ergebnis von Bestellungen

Regelverletzungen erkennen

Wenn der Konfigurationsparameter QER | ComplianceCheck | EnableITSettingsForRule aktiviert ist, können an Complianceregeln zusätzliche Eigenschaften erfasst werden, die bei der Regelprüfung von Bestellungen berücksichtigt werden.

Über die IT Shop Eigenschaft Erkennung einer Regelverletzung legen Sie für eine Regel fest, welche Regelverletzungen protokolliert werden.

Tabelle 45: Zulässige Werte
Wert Beschreibung

Neue Regelverletzung durch die Bestellung

Es werden nur Regelverletzungen protokolliert, die durch die Genehmigung der aktuellen Bestellung neu hinzukommen würden.

Nicht genehmigte Ausnahmen

Es werden Regelverletzungen protokolliert, die durch die Genehmigung der aktuellen Bestellung neu hinzukommen würden. Zusätzlich werden auch bereits bekannte Regelverletzungen protokolliert, für die noch keine genehmigten Ausnahmen vorliegen.

Jede Verletzung der Compliance

Es werden alle Regelverletzungen protokolliert, unabhängig davon ob bereits eine Ausnahmegenehmigung vorliegt oder nicht.

Dieser Wert wird automatisch gesetzt, wenn die Option Explizite Ausnahmegenehmigung aktiviert wird.

Wenn der Konfigurationsparameter QER | ComplianceCheck | EnableITSettingsForRule deaktiviert ist, werden neue Regelverletzungen durch die aktuelle Bestellung protokolliert.

Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.

Ausnahmegenehmiger ermitteln

Eine Bestellung, die eine Regelverletzung zur Folge hat, kann per Ausnahmegenehmigung dennoch genehmigt werden.

Um Ausnahmegenehmigungen für Bestellungen mit Regelverletzungen zu ermöglichen

  1. Aktivieren Sie an den Complianceregeln die Option Ausnahmegenehmigung möglich und weisen Sie Ausnahmegenehmiger zu.

    Weitere Informationen finden Sie imOne Identity Manager Administrationshandbuch für Complianceregeln.

  2. Fügen Sie in den Entscheidungsworkflow einen Entscheidungsschritt mit dem Verfahren OC oder OH ein. Verbinden Sie diese Entscheidungsebene mit der Entscheidungsebene für die Regelprüfung an dem Verbindungspunkt für die negative Entscheidung.

    Hinweis:

    • Wenden Sie diese Entscheidungsverfahren nur unmittelbar nach einer Entscheidungsebene mit dem Entscheidungsverfahren CR an.

    • Pro Entscheidungsworkflow kann nur ein Entscheidungsschritt mit den Entscheidungsverfahren OC oder OH definiert werden.

  3. Wenn der Konfigurationsparameter QER | ComplianceCheck | EnableITSettingsForRule aktiviert ist, können Sie über die IT Shop Eigenschaften der Regeln einstellen, welche Regelverletzungen einem Ausnahmegenehmiger vorgelegt werden. Aktivieren oder deaktivieren Sie dafür die Option Explizite Ausnahmegenehmigung.

    Weitere Informationen finden Sie unter Explizite Ausnahmegenehmigung.

Tabelle 46: Entscheidungsverfahren für Ausnahmegenehmigungen
Entscheidungsverfahren Beschreibung

OC (Ausnahmegenehmiger der verletzten Regeln)

Die Entscheidung wird von den Ausnahmegenehmigern der verletzten Regel getroffen. Da mit einer Bestellung durchaus mehrere Regeln verletzt werden können, wird die Bestellung allen Ausnahmegenehmigern parallel vorgelegt. Eine Ablehnung der Ausnahmegenehmigung durch einen der Ausnahmegenehmiger führt zur Ablehnung der Bestellung.

OH (Ausnahmegenehmiger der schwersten Regelverletzung)

Die Entscheidung wird durch die Ausnahmegenehmiger der Regel mit dem höchsten Gefährdungsgrad getroffen. Damit kann bei Verletzung mehrerer Regeln durch eine Bestellung das Verfahren der Ausnahmegenehmigung beschleunigt werden.

Für dieses Entscheidungsverfahren stellen Sie sicher, dass:

  • der Schweregrad in den Bewertungskriterien aller Complianceregeln festgelegt ist,

  • die Ausnahmegenehmiger für die schwerste Regelverletzung in allen betroffenen Regeln zu den Ausnahmegenehmigern gehören.

Beispiel

Durch die Bestellung einer Active Directory Gruppenmitgliedschaft werden vier verschiedene Complianceregeln verletzt. An allen Complianceregeln ist der Zielsystemverantwortliche der Active Directory Domäne als Ausnahmegenehmiger eingetragen.

Mit dem Entscheidungsverfahren OC muss der Zielsystemverantwortliche Ausnahmegenehmigungen für alle vier Complianceregeln erteilen.

Mit dem Entscheidungsverfahren OH bekommt der Zielsystemverantwortliche die Bestellung nur für die Complianceregel mit dem höchsten Schweregrad vorgelegt. Seine Entscheidung wird für die übrigen verletzten Regeln automatisch nachgenutzt.

Abbildung 8: Beispiel für einen Entscheidungsworkflow mit Regelprüfung und Ausnahmegenehmigung

Ablauf einer Regelprüfung mit Ausnahmegenehmigung

  1. Wird bei einer Regelprüfung eine Regelverletzung festgestellt, wird der Entscheidungsschritt automatisch negativ entschieden. Die Bestellung wird an die Entscheider der nächsten Entscheidungsebene zur Entscheidung übergeben.

  2. Es werden die Ausnahmegenehmiger entsprechend dem angegebenen Entscheidungsverfahren ermittelt.

  3. Wird eine Ausnahmegenehmigung erteilt, wird die Bestellung genehmigt und zugewiesen.

  4. Wird keine Ausnahmegenehmigung erteilt, wird die Bestellung abgelehnt.

Wichtig: Wenn der Konfigurationsparameter QER | ITShop | ReuseDecision aktiviert ist und der Ausnahmegenehmiger in einem vorhergehenden Entscheidungsschritt die Bestellung als Entscheider bereits genehmigt hat, so wird die Ausnahmegenehmigung automatisch erteilt. Weitere Informationen finden Sie unter Bestellungen automatisch entscheiden.
Hinweis:
  • Entgegen dem sonst angewendeten Verantwortlicher-Stellvertreter-Prinzip ist der Stellvertreter eines Ausnahmegenehmigers selbst nicht berechtigt eine Ausnahmegenehmigung zu erteilen.

  • Für Ausnahmegenehmiger können keine Fallback-Entscheider ermittelt werden. Wenn kein Ausnahmegenehmiger ermittelt werden kann, wird die Bestellung abgebrochen.

  • Die zentrale Entscheidergruppe kann keine Ausnahmegenehmigungen erteilen.

Einschränkung der Ausnahmegenehmiger

Standardmäßig können Ausnahmegenehmiger auch über Bestellungen entscheiden, in denen sie selbst Besteller (UID_PersonInserted) oder Empfänger (UID_PersonOrdered) sind. Um das zu verhindern, legen Sie das gewünschte Verhalten an den folgenden Konfigurationsparametern und am Entscheidungsschritt fest.

  • Konfigurationsparameter QER | ComplianceCheck | DisableSelfExceptionGranting

  • Konfigurationsparameter QER | ITShop | PersonOrderedNoDecideCompliance

  • Konfigurationsparameter QER | ITShop | PersonInsertedNoDecideCompliance

  • Option Entscheidung durch betroffene Identität am Entscheidungsschritt zur Ermittlung der Ausnahmegenehmiger

Wenn Besteller oder Entscheider keine Ausnahmegenehmigungen erteilen dürfen, werden deren Hauptidentität und alle ihre Subidentitäten aus dem Kreis der Ausnahmegenehmiger entfernt.

Zusammenfassung der Konfigurationsmöglichkeiten

Ein Besteller kann für eigene Bestellungen Ausnahmegenehmigungen erteilen, wenn:

  • Konfigurationsparameter PersonInsertedNoDecideCompliance: deaktiviert

- ODER -

  • Option Entscheidung durch betroffene Identität: aktiviert

Ein Empfänger kann für eigene Bestellungen Ausnahmegenehmigungen erteilen, wenn:

  • Konfigurationsparameter DisableSelfExceptionGranting: deaktiviert

    Konfigurationsparameter PersonOrderedNoDecideCompliance: deaktiviert

- ODER -

  • Konfigurationsparameter DisableSelfExceptionGranting: deaktiviert

    Option Entscheidung durch betroffene Identität: aktiviert

Ein Besteller kann keine Ausnahmegenehmigungen erteilen, wenn:

  • Konfigurationsparameter PersonInsertedNoDecideCompliance: aktiviert

    Option Entscheidung durch betroffene Identität: deaktiviert

Ein Empfänger kann keine Ausnahmegenehmigungen erteilen, wenn:

  • Konfigurationsparameter DisableSelfExceptionGranting: aktiviert

- ODER -

  • Konfigurationsparameter PersonOrderedNoDecideCompliance: aktiviert

    Option Entscheidung durch betroffene Identität: deaktiviert

Verwandte Themen

Einschränkung der Ausnahmegenehmiger einrichten

Um zu verhindern, dass die Empfänger von Bestellungen als Ausnahmegenehmiger ermittelt werden

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | ComplianceCheck | DisableSelfExceptionGranting.

    Dieser Konfigurationsparameter wirkt

    • bei der Ausnahmegenehmigung von Bestellungen und

    • bei der zyklischen Regelprüfung. Ausführliche Informationen zur zyklischen Regelprüfung finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.

    - ODER -

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | PersonOrderedNoDecideCompliance.

    Dieser Konfigurationsparameter wirkt

    • bei der Ausnahmegenehmigung von Bestellungen und

    • wenn am Entscheidungsschritt die Option Entscheidung durch betroffene Identität deaktiviert ist.

Um zu verhindern, dass die Besteller als Ausnahmegenehmiger ermittelt werden

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | PersonInsertedNoDecideCompliance.

    Dieser Konfigurationsparameter wirkt

    • bei der Ausnahmegenehmigung von Bestellungen und

    • wenn am Entscheidungsschritt die Option Entscheidung durch betroffene Identität deaktiviert ist.

Für einzelne Entscheidungsworkflows können Sie Ausnahmen von der generellen Festlegung an den Konfigurationsparametern PersonInsertedNoDecideCompliance und PersonOrderedNoDecideCompliance zulassen. Nutzen Sie diese Möglichkeit, wenn die Besteller oder die Empfänger von Bestellungen nur für bestimmte Bestellungen selbst Ausnahmegenehmigungen erteilen dürfen.

Um im Einzelfall zuzulassen, dass der Besteller oder Empfänger einer Bestellung als Ausnahmegenehmiger ermittelt wird

  • Aktivieren Sie am Entscheidungsschritt zur Ermittlung der Ausnahmegenehmiger die Option Entscheidung durch betroffene Identität.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating