Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Erfassen von Leistungspositionen Erfassen von Servicekategorien Erfassen produktspezifischer Bestelleigenschaften Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Erfassen von Nutzungsbedingungen Erfassen von Schlagworten
Zuweisen und Entfernen der Produkte Vorbereiten des s für die Multifaktor-Authentifizierung Zuweisungsbestellung und Delegierung Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Gruppen automatisch in den IT Shop aufnehmen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien bearbeiten Entscheidungsworkflows Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Genehmigung von Bestellungen eines Entscheiders Automatische Entscheidung von Bestellungen Einholen weiterer Informationen zur Bestellung durch einen Entscheider Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen Bestellvorlagen
Standardlösungen für die Bestellung von Systemberechtigungen Fehlerbehebung Anhang: Konfigurationsparameter für IT Shop Anhang: Status von Bestellungen Anhang: Beispiele für das Ergebnis von Bestellungen Informationen zu Dell

Ermitteln der Ausnahmegenehmiger

Ermitteln der Ausnahmegenehmiger

Eine Bestellung, die eine Regelverletzung zur Folge hat, kann per Ausnahmegenehmigung dennoch genehmigt werden.

Um Ausnahmegenehmigungen für Bestellungen mit Regelverletzungen zu ermöglichen

  1. Aktivieren Sie an den Complianceregeln die Option Ausnahmegenehmigung möglich und weisen Sie Ausnahmegenehmiger zu.

    Weitere Informationen finden Sie im Dell One Identity Manager Administrationshandbuch für Complianceregeln.

  2. Fügen Sie in den Entscheidungsworkflow einen Entscheidungsschritt mit dem Verfahren „OC“ oder „OH“ ein. Verbinden Sie diese Entscheidungsebene mit der Entscheidungsebene für die Regelprüfung an dem Verbindungspunkt für die negative Entscheidung.

    Hinweis: Wenden Sie diese Entscheidungsverfahren nur unmittelbar nach einer Entscheidungsebene mit dem Entscheidungsverfahren „CR“ an.

    Hinweis: Pro Entscheidungsworkflow kann nur ein Entscheidungsschritt mit den Entscheidungsverfahren "OC" oder "OH" definiert werden.

  3. Wenn der Konfigurationsparameter "QER\ComplianceCheck\EnableITSettingsForRule" aktiviert ist, können Sie über die IT Shop Eigenschaften der Regeln einstellen, welche Regelverletzungen einem Ausnahmegenehmiger vorgelegt werden. Aktivieren oder deaktivieren Sie dafür die Option Explizite Ausnahmegenehmigung.

    Weitere Informationen finden Sie unter Explizite Ausnahmegenehmigung.

Tabelle 57: Entscheidungsverfahren für Ausnahmegenehmigungen
Entscheidungsverfahren Beschreibung
OC (Ausnahmegenehmiger der verletzten Regeln) Die Entscheidung wird von den Ausnahmegenehmigern der verletzten Regel getroffen. Da mit einer Bestellung durchaus mehrere Regeln verletzt werden können, wird die Bestellung allen Ausnahmegenehmigern parallel vorgelegt. Eine Ablehnung der Ausnahmegenehmigung durch einen der Ausnahmegenehmiger führt zur Ablehnung der Bestellung.
OH (Ausnahmegenehmiger der schwersten Regelverletzung)

Die Entscheidung wird durch die Ausnahmegenehmiger der Regel mit dem höchsten Gefährdungsgrad getroffen. Damit kann bei Verletzung mehrerer Regeln durch eine Bestellung das Verfahren der Ausnahmegenehmigung verkürzt werden.

Für dieses Entscheidungsverfahren stellen Sie sicher, dass:

  • der Schweregrad in den Bewertungskriterien aller Complianceregeln festgelegt ist,
  • die Ausnahmegenehmiger für die schwerste Regelverletzung in allen betroffenen Regeln zu den Ausnahmegenehmigern gehören.

Abbildung 10: Beispiel für einen Entscheidungsworkflow mit Regelprüfung und Ausnahmegenehmigung

Ablauf einer Regelprüfung mit Ausnahmegenehmigung

  1. Wird bei einer Regelprüfung eine Regelverletzung festgestellt, wird der Entscheidungsschritt automatisch negativ entschieden. Die Bestellung wird an die Entscheider der nächsten Entscheidungsebene zur Genehmigung übergeben.
  2. Es werden die Ausnahmegenehmiger entsprechend dem angegebenen Entscheidungsverfahren ermittelt.
  3. Wird eine Ausnahmegenehmigung erteilt, wird die Bestellung genehmigt und zugewiesen.
  4. Wird keine Ausnahmegenehmigung erteilt, wird die Bestellung abgelehnt.

HINWEIS:

  • Entgegen dem sonst angewendeten Verantwortlicher-Stellvertreter-Prinzip ist der Stellvertreter eines Ausnahmegenehmigers selbst nicht berechtigt eine Ausnahmegenehmigung zu erteilen.
  • Für Ausnahmegenehmiger können keine Fallback-Entscheider ermittelt werden. Wenn kein Ausnahmegenehmiger ermittelt werden kann, wird die Bestellung abgebrochen.
  • Die zentrale Entscheidergruppe kann keine Ausnahmegenehmigungen erteilen.

Einschränkungen für Ausnahmegenehmiger

Tabelle 58: Konfigurationsparameter für die Genehmigung von Bestellungen mit Regelverletzungen
Konfigurationsparameter Bedeutung
QER\ITShop\
PersonInsertedNoDecideCompliance
Der Konfigurationsparameter legt fest, ob die Person, die eine Bestellung auslöst, diese auch entscheiden darf, wenn durch die Bestellung Complianceregeln verletzt werden.
QER\ITShop\
PersonOrderedNoDecideCompliance
Der Konfigurationsparameter legt fest, ob die Person, für die eine Bestellung auslöst wird, diese auch entscheiden darf, wenn durch die Bestellung Complianceregeln verletzt werden.
QER\ComplianceCheck\
DisableSelfExceptionGranting
Ausschluss eines Regelverletzers aus dem Kreis der Ausnahmegenehmiger. Wenn der Konfigurationsparameter aktiviert ist, darf niemand seine eigene Regelverletzung genehmigen.

Für Ausnahmegenehmiger muss geregelt werden, ob sie ihre eigenen Bestellungen entscheiden dürfen. Das gewünschte Verhalten legen Sie über die Konfigurationsparameter „QER\ITShop\PersonOrderedNoDecideCompliance“ und „QER\ITShop\PersonInsertedNoDecideCompliance“ fest. Dabei wird verhindert, dass die Hauptidentität des Bestellers (beziehungsweise des Empfängers der Bestellung) und ihre Subidentäten eine Ausnahmegenehmigung erteilen können.

Um zu verhindern, dass ein Ausnahmegenehmiger seine eigenen Bestellungen entscheiden darf

  • Aktivieren Sie im Designer den Konfigurationsparameter „QER\ITShop\PersonOrderedNoDecideCompliance“.

    Der Konfigurationsparameter wirkt auf die Bestellungen, die ein Ausnahmegenehmiger für sich selbst bestellt hat, sowie auf alle Bestellungen, die eine andere Person für ihn bestellt hat. Wenn der Konfigurationsparameter nicht aktiviert ist, dann ist der Ausnahmegenehmiger auch für seine eigenen Bestellungen entscheidungsberechtigt. Seine Bestellung wird ihm dann selbst zur Genehmigung vorgelegt.

Um zu verhindern, dass ein Ausnahmegenehmiger Bestellungen, die er für sich oder für andere Kunden ausgelöst hat, entscheiden kann

  • Aktivieren Sie im Designer den Konfigurationsparameter „QER\ITShop\PersonInsertedNoDecideCompliance“.

    Wenn der Konfigurationsparameter nicht aktiviert ist, dann ist der Ausnahmegenehmiger auch für diese Bestellungen entscheidungsberechtigt.

Für Ausnahmegenehmiger muss außerdem geregelt werden, ob sie ihre eigenen Regelverletzungen genehmigen dürfen. Standardmäßig wird eine Person, die eine Regel verletzt, für diese Regel als Ausnahmegenehmiger ermittelt, wenn sie Mitglied der Anwendungsrolle Ausnahmegenehmiger für diese Regel ist. Damit kann sie sich eigene Regelverletzungen genehmigen.

Um zu verhindern, dass eine Person sich selbst eine Ausnahmegenehmigung erteilt

  • Aktivieren Sie im Designer den Konfigurationsparameter „QER\ComplianceCheck\DisableSelfExceptionGranting“.

    Personen, die eine Regel verletzen, werden nicht als Ausnahmegenehmiger für diese Regelverletzung ermittelt.

Explizite Ausnahmegenehmigung

Tabelle 59: Konfigurationsparameter für IT Shop-relevante Eigenschaften
Konfigurationsparameter Bedeutung bei Aktivierung
QER\ComplianceCheck\EnableITSettingsForRule Die IT Shop Eigenschaften der Complianceregeln werden eingeblendet und können bearbeitet werden.

Wenn der Konfigurationsparameter "QER\ComplianceCheck\EnableITSettingsForRule" aktiviert ist, können an Complianceregeln zusätzliche Eigenschaften erfasst werden, die bei der Regelprüfung von Bestellungen berücksichtigt werden.

Mit der IT Shop Eigenschaft Explizite Ausnahmegenehmigung bestimmen Sie, ob erneute Regelverletzungen einem Ausnahmegenehmiger vorgelegt werden oder ob bereits vorhandene Ausnahmegenehmigungen nachgenutzt werden sollen.

Tabelle 60: Zulässige Werte
Option ist Beschreibung
aktiviert Eine erkannte Regelverletzung wird immer zur Ausnahmegenehmigung vorgelegt, auch wenn es bereits eine genehmigte Ausnahme aus einer früheren Verletzung der Regel gibt.
deaktiviert Eine erkannte Regelverletzung wird nicht erneut zur Ausnahmegenehmigung vorgelegt, wenn es bereits eine genehmigte Ausnahme aus einer früheren Verletzung der Regel gibt. Diese Ausnahmegenehmigung wird nachgenutzt und für die erkannte Regelverletzung automatisch eine Ausnahme zugelassen.

Werden durch eine Bestellung mehrere Regeln verletzt und ist für eine dieser Regeln die Eigenschaft Explizite Ausnahmegenehmigung aktiviert, so wird die Bestellung den Ausnahmegenehmigern aller verletzten Regeln zur Genehmigung vorgelegt.

Regeln, für die die Option Explizite Ausnahmegenehmigung gesetzt ist, führen dann zu einer erneuten Ausnahmegenehmigung, wenn

  • für die aktuelle Bestellung eine Regelprüfung innerhalb des Genehmigungsverfahrens durchgeführt wird

    - UND -

    1. die Regel durch die aktuelle Bestellung verletzt wird

      - ODER -

    2. der IT Shop-Kunde die Regel bereits verletzt hat.

Im Fall a wird die Bestellung für den IT Shop-Kunden den Ausnahmegenehmigern vorgelegt. Wird die Bestellung genehmigt, gilt bei der nächsten Bestellung Fall b. Im Fall b muss jede Bestellung für den IT Shop-Kunden durch den Ausnahmegenehmiger entschieden werden, auch wenn die Bestellung selbst nicht zur Regelverletzung führt. Sie erreichen damit, dass Zuweisungen für Personen, für die Ausnahmen genehmigt wurden, bei jeder neuen Bestellung überprüft und erneut genehmigt werden.

Weitere Informationen finden Sie im Dell One Identity Manager Administrationshandbuch für Complianceregeln.

Überprüfung der Bestellungen mit Selbstbedienung

Überprüfung der Bestellungen mit Selbstbedienung

Die Selbstbedienung (Entscheidungsverfahren „SB“) wird immer als einstufiges Verfahren definiert. Das bedeutet, zu einem Entscheidungsschritt für Selbstbedienung können Sie keinen weiteren Entscheidungsschritt einrichten.

Um eine Regelprüfung für Bestellungen mit Selbstbedienung zu realisieren

Related Documents