Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Erfassen von Leistungspositionen Erfassen von Servicekategorien Erfassen produktspezifischer Bestelleigenschaften Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Erfassen von Nutzungsbedingungen Erfassen von Schlagworten
Zuweisen und Entfernen der Produkte Vorbereiten des s für die Multifaktor-Authentifizierung Zuweisungsbestellung und Delegierung Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Gruppen automatisch in den IT Shop aufnehmen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien bearbeiten Entscheidungsworkflows Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Genehmigung von Bestellungen eines Entscheiders Automatische Entscheidung von Bestellungen Einholen weiterer Informationen zur Bestellung durch einen Entscheider Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen Bestellvorlagen
Standardlösungen für die Bestellung von Systemberechtigungen Fehlerbehebung Anhang: Konfigurationsparameter für IT Shop Anhang: Status von Bestellungen Anhang: Beispiele für das Ergebnis von Bestellungen Informationen zu Dell

Allgemeine Stammdaten eines Entscheidungsverfahrens

Für ein Entscheidungsverfahren erfassen Sie folgende allgemeine Stammdaten.

Tabelle 50: Allgemeine Stammdaten von Entscheidungsverfahren
Eigenschaft Beschreibung
Entscheidungsverfahren Kurzbezeichnung des Entscheidungsverfahrens (maximal zwei Zeichen).
Beschreibung Bezeichnung des Entscheidungsverfahrens.
DBQueue Prozessor Aufgabe Entscheidungen können entweder automatisch durch einen Berechnungsauftrag des DBQueue Prozessors getroffen werden oder durch festgelegte Entscheider. Wenn das Entscheidungsverfahren eine automatische Entscheidung treffen soll, weisen Sie eine kundendefinierte DBQueue Prozessor Aufgabe zu.

Wenn eine Abfrage zur Ermittlung der Entscheider erfasst ist, kann keine DBQueue Prozessor Aufgabe zugewiesen werden.

Max. Anzahl Entscheider Maximale Anzahl an Entscheidern, die durch das Entscheidungsverfahren ermittelt werden. Wie viele Personen tatsächlich entscheiden müssen, legen Sie in den Entscheidungsschritten fest, die dieses Entscheidungsverfahren verwenden.
Reihenfolge

Wert für die Sortierung der Entscheidungsverfahren in Auswahllisten.

Um das Entscheidungsverfahren beim Einrichten eines Entscheidungsschrittes in der Auswahlliste an oberster Stelle anzuzeigen, legen Sie einen Wert kleiner '10' fest.

Verwandte Themen

Abfragen zur Ermittlung der Entscheider

Abfragen zur Ermittlung der Entscheider

Die Bedingung, über die die Entscheider ermittelt werden, wird als Datenbankabfrage formuliert. Für eine Bedingung können mehrere Abfragen kombiniert werden. Dabei werden alle Personen in den Entscheiderkreis aufgenommen, die durch die Einzelabfragen ermittelt werden.

Um die Bedingung zu bearbeiten

  1. Wählen Sie die Kategorie IT Shop | Basisdaten zur Konfiguration | Entscheidungsverfahren.
  2. Wählen Sie in der Ergebnisliste das Entscheidungsverfahren.
  3. Wählen Sie die Aufgabe Abfragen zur Ermittlung der Entscheider bearbeiten.

Um eine einzelne Abfrage zu erstellen

  1. Klicken Sie Hinzufügen.

    Es wird eine neue Zeile in die Tabelle eingefügt.

  2. Markieren Sie diese Zeile. Erfassen Sie die Eigenschaften der Abfrage.
  3. Fügen Sie bei Bedarf weitere Abfragen hinzu.
  4. Speichern Sie die Änderungen.

Um eine einzelne Abfrage zu bearbeiten

  1. Wählen Sie in der Tabelle die Abfrage, die Sie bearbeiten möchten. Bearbeiten Sie die Eigenschaften der Abfrage.
  2. Speichern Sie die Änderungen.

Um eine einzelne Abfrage zu entfernen

  1. Wählen Sie in der Tabelle die Abfrage, die Sie entfernen möchten.
  2. Klicken Sie Entfernen.
  3. Speichern Sie die Änderungen.
Tabelle 51: Eigenschaften einer Abfrage
Entscheiderauswahl Bezeichnung der Abfrage, die die Entscheider ermittelt.
Abfrage

Datenbankabfrage, die die Entscheider ermittelt.

Die Datenbankabfrage muss als Select-Anweisung formuliert werden. Die über die Datenbankabfrage ausgewählte Spalte muss eine UID_Person liefern. Ergebnis der Abfrage sind eine oder mehrere Personen, denen die Bestellung zur Entscheidung vorgelegt wird. Liefert die Abfrage kein Ergebnis, wird die Bestellung abgebrochen.

Hinweis:

  • Eine Abfrage enthält genau eine Select-Anweisung. Um mehrere Select-Anweisungen zu kombinieren, erstellen Sie mehrere Abfragen.
  • Wenn eine DBQueue Prozessor Aufgabe zugewiesen ist, kann keine Abfrage zur Ermittlung der Entscheider erfasst werden.

Die Abfrage kann beispielsweise vorher festgelegte Entscheider ermitteln (Beispiel 1). Die Entscheider können auch dynamisch in Abhängigkeit der zu genehmigenden Bestellung ermittelt werden. Dafür greifen Sie innerhalb der Datenbankabfrage über die Variable @UID_PersonWantsOrg (SQL) bzw. v_uid_personwantsorg (Oracle) auf die zu genehmigende Bestellung zu (Beispiel 2). Zusätzlich muss jede Abfrage einen Wert für UID_PWORulerOrigin übergeben.

Beispiel 1

Die Bestellungen sollen durch einen festgelegten Entscheider genehmigt werden.

Abfrage: select UID_Person, null as UID_PWORulerOrigin from Person where InternalName='Rittersgrün, Dr. Rüdiger von'
Beispiel 2

Der Entscheider soll über die Abteilung des Bestellers ermittelt werden. Entscheidungsberechtigt ist der Manager der Kostenstelle, die der primären Abteilung des Bestellers zugeordnet sind. Der Besteller ist die Person, die eine Bestellung auslöst (UID_PersonInserted, beispielsweise beim Bestellen für Mitarbeiter).

Abfrage:

select pc.UID_PersonHead as UID_Person, null as UID_PWORulerOrigin from PersonWantsOrg pwo

	join Person p on pwo.UID_PersonInserted = p.UID_Person
	join Department d on p.UID_Department = d.UID_Department
	join ProfitCenter pc on d.UID_ProfitCenter = pc.UID_ProfitCenter

where pwo.UID_PersonWantsOrg = @UID_PersonWantsOrg

Hinweis für Experten

Um bei der Ermittlung der Entscheider auch Delegierungen zu berücksichtigen

  1. Wenn die Verantwortlichen hierarchischer Rollen entscheiden sollen, ermitteln Sie die Entscheider aus der Tabelle HelperHeadOrg. Diese Tabelle vereinigt alle Verantwortlichen von hierarchischen Rollen, deren Stellvertreter sowie die Personen, an die eine Verantwortlichkeit delegiert wurde.
  2. Damit im Web Portal ersichtlich ist, ob der Entscheider aus einer Delegierung stammt, ermitteln Sie die UID_PWORulerOrigin der Delegierung.
    • Ermitteln Sie die UID_PersonWantsOrg der Delegierung und übernehmen Sie diesen Wert als UID_PWORulerOrigin in die Abfrage. Nutzen Sie dafür die Tabellenfunktion dbo.QER_FGIPWORulerOrigin.

      select dbo.QER_FGIPWORulerOrigin(hho.XObjectkey) as UID_PWORulerOrigin

      Angepasste Abfrage aus Beispiel 2:

      select pc.UID_PersonHead as UID_Person, dbo.QER_FGIPWORulerOrigin(hho.XObjectkey) as UID_PWORulerOrigin from PersonWantsOrg pwo

      	join Person p on pwo.UID_PersonInserted = p.UID_Person
      	join Department d on p.UID_Department = d.UID_Department
      	join ProfitCenter pc on d.UID_ProfitCenter = pc.UID_ProfitCenter
      	join HelperHeadOrg hho on hho.UID_Org = pc.UID_ProfitCenter

      where pwo.UID_PersonWantsOrg = @UID_PersonWantsOrg

Entscheidungsverfahren löschen

Entscheidungsverfahren löschen

Um ein Entscheidungsverfahren zu löschen

  1. Entfernen Sie alle Zuordnungen zu Entscheidungsschritten.
    1. Prüfen Sie auf dem Überblicksformular des Entscheidungsverfahrens, welchen Entscheidungsschritten das Entscheidungsverfahren zugeordnet ist.
    2. Wechseln Sie in den Entscheidungsworkflow und ordnen Sie dem Entscheidungsschritt ein anderes Entscheidungsverfahren zu.
  2. Wählen Sie die Kategorie IT Shop | Basisdaten zur Konfiguration | Kundendefiniert | Entscheidungsverfahren.
  3. Wählen Sie in der Ergebnisliste das Entscheidungsverfahren.
  4. Klicken Sie .
  5. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Ermitteln der verantwortlichen Entscheider

Ermitteln der verantwortlichen Entscheider

Tabelle 52: Konfigurationsparameter für die Neuberechnung von Entscheidern
Konfigurationsparameter Beschreibung
QER\ITShop\ReducedApproverCalculation Der Konfigurationsparameter legt fest, welche Entscheidungsschritte neu berechnet werden sollen, wenn durch Änderungen von Verantwortlichkeiten die Entscheider im IT Shop neu ermittelt werden müssen.

Welche Person in welcher Entscheidungsebene entscheidungsberechtigt ist, wird durch den DBQueue Prozessor berechnet. Sobald eine Bestellung ausgelöst wird, werden die Entscheider für alle Entscheidungsschritte des zu durchlaufenden Entscheidungsworkflows ermittelt. Änderungen in den Verantwortlichkeiten können dazu führen, dass eine Person für eine Bestellung, die noch nicht abschließend genehmigt ist, nun nicht mehr entscheidungsberechtigt ist. In diesem Fall müssen die Entscheider neu berechnet werden. Folgende Änderungen können eine Neuberechnung für noch nicht genehmigte Bestellungen auslösen:

  • Entscheidungsrichtlinie, -workflow, -schritt oder -verfahren wurde geändert.
  • Eine entscheidungsberechtigte Person verliert ihre Verantwortlichkeiten im One Identity Manager, beispielsweise wenn der Manager einer Abteilung, der Produkteigner oder der Zielsystemverantwortliche geändert wird.
  • Eine Person erhält Verantwortlichkeiten im One Identity Manager und wird dadurch entscheidungsberechtigt, beispielsweise als Manager des Bestellempfängers.

Sobald für eine Person eine Verantwortlichkeit im One Identity Manager geändert wird, wird ein Auftrag zur Neuberechnung der Entscheider in die DBQueue eingestellt. Dabei werden standardmäßig alle Entscheidungsschritte der offenen Genehmigungsverfahren neu berechnet. Bereits genehmigte Entscheidungsschritte bleiben genehmigt, auch wenn sich deren Entscheider geändert hat. Abhängig von der Konfiguration der Systemumgebung und der Menge der zu verarbeitenden Daten kann die Neuberechnung der Entscheider viel Zeit beanspruchen. Um diese Verarbeitungszeit zu optimieren, können Sie festlegen, für welche Entscheidungsschritte die Entscheider neu berechnet werden sollen.

Um die Neuberechnung der Entscheider zu konfigurieren

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\ReducedApproverCalculation" und wählen Sie als Wert eine der folgenden Optionen.
    Tabelle 53: Optionen für die Neuberechnung von Entscheidern
    Option Beschreibung
    No Alle Entscheidungsschritte werden neu berechnet. Dieses Verhalten gilt auch, wenn der Konfigurationsparameter deaktiviert ist.

    Vorteil: Im Entscheidungsverlauf werden alle gültigen Entscheider angezeigt. Der weitere Entscheidungsverlauf ist transparent.

    Nachteil: Die Neuberechnung der Entscheider kann viel Zeit beanspruchen.

    CurrentLevel Es werden nur die Entscheider für die aktuell zu bearbeitende Entscheidungsebene neu berechnet. Sobald eine Entscheidungsebene genehmigt wurde, werden die Entscheider für die folgende Entscheidungsebene aktuell ermittelt.

    Vorteil: Die Anzahl der zu berechnenden Entscheidungsebenen wird reduziert. Die Berechnung der Entscheider wird möglicherweise beschleunigt.

    TIPP: Nutzen Sie diese Option, wenn in Ihrer Umgebung Performance-Probleme im Zusammenhang mit der Neuberechnung der Entscheider auftreten.

    Nachteil: Im Entscheidungsverlauf werden für jeden nachfolgenden Entscheidungsschritt noch die ursprünglich berechneten Entscheider angezeigt, die gegebenenfalls nicht mehr entscheidungsberechtigt sind. Die Darstellung des weiteren Entscheidungsverlaufs ist möglicherweise nicht korrekt.

    NoRecalc Keine Neuberechnung der Entscheider. Für die aktuelle Entscheidungsebene bleiben die bisherigen Entscheider entscheidungsberechtigt. Sobald eine Entscheidungsebene genehmigt wurde, werden die Entscheider für die folgende Entscheidungsebene aktuell ermittelt.

    Vorteil: Die Anzahl der zu berechnenden Entscheidungsebenen wird reduziert. Die Berechnung der Entscheider wird möglicherweise beschleunigt.

    TIPP: Nutzen Sie diese Option, wenn in Ihrer Umgebung Performance-Probleme im Zusammenhang mit der Neuberechnung der Entscheider auftreten, obwohl die Option "CurrentLevel" genutzt wird.

    Nachteil: Im Entscheidungsverlauf werden für jeden nachfolgenden Entscheidungsschritt noch die ursprünglich berechneten Entscheider angezeigt, die gegebenenfalls nicht mehr entscheidungsberechtigt sind. Die Darstellung des weiteren Entscheidungsverlaufs ist möglicherweise nicht korrekt. Die aktuelle Entscheidungsebene können Personen entscheiden, die nicht mehr entscheidungsberechtigt sind.

    Im ungünstigen Fall wurden hier ursprünglich nur Entscheider ermittelt, die nun keinen Zugang zum One Identity Manager haben, beispielsweise weil sie das Unternehmen verlassen haben. Die Entscheidungsebene kann nicht entschieden werden.

    Um solche Entscheidungsschritte dennoch abschließen zu können

    • Definieren Sie beim Einrichten der Entscheidungsworkflows an den Entscheidungsschritten ein Timeout und das Verhalten bei Timeout.

      - ODER -

    • Weisen Sie beim Einrichten des IT Shops Mitglieder an die zentrale Entscheidergruppe zu. Diese können jederzeit in offene Genehmigungsverfahren eingreifen.
Detaillierte Informationen zum Thema
Verwandte Themen
Related Documents