Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Erfassen von Leistungspositionen Erfassen von Servicekategorien Erfassen produktspezifischer Bestelleigenschaften Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Erfassen von Nutzungsbedingungen Erfassen von Schlagworten
Zuweisen und Entfernen der Produkte Vorbereiten des s für die Multifaktor-Authentifizierung Zuweisungsbestellung und Delegierung Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Gruppen automatisch in den IT Shop aufnehmen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien bearbeiten Entscheidungsworkflows Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Genehmigung von Bestellungen eines Entscheiders Automatische Entscheidung von Bestellungen Einholen weiterer Informationen zur Bestellung durch einen Entscheider Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen Bestellvorlagen
Standardlösungen für die Bestellung von Systemberechtigungen Fehlerbehebung Anhang: Konfigurationsparameter für IT Shop Anhang: Status von Bestellungen Anhang: Beispiele für das Ergebnis von Bestellungen Informationen zu Dell

Bestellung des Starling 2FA Tokens vorbereiten

Bestellung des Starling 2FA Tokens vorbereiten

Damit ein One Identity Manager Benutzer die Multifaktor-Authentifizierung nutzen kann, muss er bei Starling Two-Factor Authentication registriert sein. Um sich zu registrieren, bestellt der Benutzer im Web Portal das Starling 2FA Token. Sobald die Bestellung genehmigt ist, erhält er einen Link zur Starling Two-Factor Authentication App und eine Starling 2FA Benutzerkennung. Mit der App können die Sicherheitscodes generiert werden, die für die Authentifizierung benötigt werden. Die Starling 2FA Benutzerkennung wird in den Personenstammdaten des Benutzers gespeichert.

HINWEIS: In den Personenstammdaten des Benutzers müssen Standard-E-Mail-Adresse, Mobiltelefon und Land hinterlegt sein. Diese Angaben werden für die Registrierung benötigt.

Um die Bestellung des Starling 2FA Tokens zu ermöglichen

  1. Wählen Sie die Kategorie IT Shop | Servicekatalog | Vordefiniert.
  2. Wählen Sie in der Ergebnisliste Neues Starling 2FA Token.
  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  4. Deaktivieren Sie Nicht bestellbar.
  5. Speichern Sie die Änderungen.

Die Bestellung des Starling 2FA Tokens muss durch den Manager des Empfängers der Bestellung genehmigt werden.

Multifaktor-Authentifizierung für Bestellungen nutzen

Einrichten einer IT Shop-Lösung > Vorbereiten des s für die Multifaktor-Authentifizierung > Multifaktor-Authentifizierung für Bestellungen nutzen

Die Multifaktor-Authentifizierung kann sowohl bei der Bestellung als auch bei der Entscheidung von Bestellungen eingesetzt werden.

Sobald an einer Leistungsposition die Option "Entscheidung durch Multifaktor Authentifizierung" aktiviert ist, wird in jedem Entscheidungsschritt des Genehmigungsverfahrens ein Sicherheitscode angefordert. Das heißt, jeder Entscheider, der über die Bestellung dieses Produktes entscheidet, muss ein Starling 2FA Token besitzen.

Damit auch der Besteller die Multifaktor-Authentifizierung nutzt, ordnen Sie der Leistungsposition zusätzlich eine Nutzungsbedingung zu. Wenn der Besteller die Nutzungsbedingung bestätigt, muss er den Sicherheitscode angeben. Wenn der Entscheidungsworkflow entsprechend konfiguriert ist, muss auch der Bestellempfänger einen Sicherheitscode angeben. Weitere Informationen finden Sie unter Bestellungen mit Nutzungsbedingungen entscheiden.

Tabelle 20: Varianten der Multifaktor-Authentifizierung bei Bestellungen im IT Shop
Wirksame Entscheidungsrichtlinie Nutzungsbedingung Sicherheitscode wird angefordert vom
Besteller Entscheider
Selbstbedienung keine    
Selbstbedienung zugeordnet x  
keine Selbstbedienung keine   x
keine Selbstbedienung zugeordnet x x
Verwandte Themen

Sicherheitscode anfordern

Sicherheitscode anfordern

Tabelle 21: Konfigurationsparameter für die Anforderung des Starling 2FA Sicherheitscodes
Konfigurationsparameter Bedeutung

QER\Person\Defender\DisableForceParameter

Der Konfigurationsparameter legt fest, ob Starling 2FA gezwungen werden soll, den Sicherheitscode per SMS oder Telefonanruf zu senden, wenn für die Multifaktor-Authentifizierung eine dieser Optionen ausgewählt ist. Wenn der Konfigurationsparameter aktiviert ist, kann Starling 2FA diese Anforderung zurückweisen; der Benutzer muss dann den Sicherheitscode über die Starling 2FA App anfordern.

Wenn für eine Bestellung oder die Genehmigung einer Bestellung der Sicherheitscode angefordert wird, entscheidet der Benutzer, auf welchem Weg der Sicherheitscode zugestellt wird. Folgende Möglichkeiten können genutzt werden:

  • Über die Starling 2FA App
  • Per SMS
  • Per Telefonanruf

Standardmäßig wird Starling 2FA gezwungen den Sicherheitscode per SMS oder Telefonanruf zu senden, wenn der Benutzer eine dieser Optionen ausgewählt hat. Aus Sicherheitsgründen sollte der Benutzer jedoch die Starling 2FA App nutzen, um den Sicherheitscode zu generieren. Wenn die App auf dem Mobiltelefon des Benutzers installiert ist, kann Starling 2FA die Anforderung von SMS oder Telefonanruf zurückweisen. Der Benutzer muss dann den Sicherheitscode über die App generieren.

Um dieses Verhalten zu nutzen

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\Defender\DisableForceParameter".

    Starling 2FA kann die Übermittlung des Sicherheitscodes per SMS oder Telefonanruf zurückweisen, wenn auf dem Mobiltelefon die Starling 2FA App installiert ist. Der Sicherheitscode muss dann über die App generiert werden.

Wenn der Konfigurationsparameter deaktiviert ist (Standard), wird Starling 2FA gezwungen, den Sicherheitscode per SMS oder Telefonanruf zu senden.

Zuweisungsbestellung und Delegierung

Einrichten einer IT Shop-Lösung > Zuweisungsbestellung und Delegierung

Zuweisungsbestellung und Delegierung

Tabelle 22: Konfigurationsparameter für den IT Shop
Konfigurationsparameter Bedeutung
QER\ITShop\ShowClosedAssignmentOrders

Der Konfigurationsparameter gibt an, ob die Manager einer Organisation oder Geschäftsrolle abgeschlossene Zuweisungsbestellungen zu ihrer Organisation oder Geschäftsrolle einsehen können.

Ist der Parameter deaktiviert, sehen die Manager nur offene Bestellungen von Zuweisungen zu ihrer Organisation oder Geschäftsrolle.

Mit dem One Identity Manager können auch hierarchische Rollen, wie Abteilungen oder Geschäftsrollen, über den IT Shop bestellt und an Personen, Geräte und Arbeitsplätze zugewiesen werden. Damit können beliebige Zuweisungen über IT Shop-Bestellungen realisiert werden. Vorteil dieser Vorgehensweise ist, dass jegliche Zuweisungen über ein Genehmigungsverfahren autorisiert werden. Gleichermaßen unterliegen auch die Verlängerung einer Zuweisung und der Entzug von Zuweisungen einem Genehmigungsverfahren. Über die Bestellhistorie ist jederzeit nachvollziehbar, wer wann und warum welche Zuweisungen bestellt, verlängert oder abbestellt hat.

Die Manager hierarchischer Rollen können Zuweisungsbestellungen für ihre Rollen vornehmen.

Eine spezielle Form der Zuweisungsbestellung ist die Delegierung. Dabei kann eine Person eine Rollenzuordnung zeitweilig an andere Personen abgeben. Auch Delegierungen durchlaufen ein definiertes Genehmigungsverfahren.

Manager von hierarchischen Rollen können im Web Portal Zuweisungsbestellungen für die Rollen sehen, für die sie verantwortlich sind. Über den Konfigurationsparameter "QER\ITShop\ShowClosedAssignmentOrders" können Sie einstellen, ob alle Zuweisungsbestellungen angezeigt werden sollen oder nur die offenen. Standardmäßig werden sowohl offene als auch abgeschlossene Zuweisungsbestellungen angezeigt.

Um im Web Portal nur offene Zuweisungsbestellungen für einen Manager anzuzeigen

  • Deaktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\ShowClosedAssignmentOrders".
Related Documents