Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Erfassen von Leistungspositionen Erfassen von Servicekategorien Erfassen produktspezifischer Bestelleigenschaften Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Erfassen von Nutzungsbedingungen Erfassen von Schlagworten
Zuweisen und Entfernen der Produkte Vorbereiten des s für die Multifaktor-Authentifizierung Zuweisungsbestellung und Delegierung Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Gruppen automatisch in den IT Shop aufnehmen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien bearbeiten Entscheidungsworkflows Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Genehmigung von Bestellungen eines Entscheiders Automatische Entscheidung von Bestellungen Einholen weiterer Informationen zur Bestellung durch einen Entscheider Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen Bestellvorlagen
Standardlösungen für die Bestellung von Systemberechtigungen Fehlerbehebung Anhang: Konfigurationsparameter für IT Shop Anhang: Status von Bestellungen Anhang: Beispiele für das Ergebnis von Bestellungen Informationen zu Dell

Mehrfache Bestellung eines Produktes

Ablauf einer Bestellung > Mehrfache Bestellung eines Produktes

Mehrfache Bestellung eines Produktes

Die Produkte des IT Shops sind in der Regel nur einmal bestellbar. Ist ein Produkt dem Kunden zugewiesen, kann er das Produkt nicht ein zweites Mal bestellen. Darüber hinaus kann es Unternehmensressourcen geben, die die Mitarbeiter mehrfach benötigen, beispielsweise Verbrauchsmaterialien. Solche Unternehmensressourcen können als mehrfach bestellbare Ressourcen im One Identity Manager hinterlegt werden.

Ablauf der Bestellung einer mehrfach bestellbaren Ressource

  1. Ein Kunde bestellt im Web Portal eine mehrfach bestellbare Ressource.
  2. Die Bestellung durchläuft das zugeordnete Genehmigungsverfahren und wird genehmigt.

    Die Bestellung wird nur in der Tabelle PersonWantsOrg gespeichert. Es entsteht kein Eintrag in der Tabelle PersonInITShopOrg.

  3. Die Ressource wird sofort wieder abbestellt. Die Bestellung erhält den Status "Abbestellt" (PersonWantsOrg.OrderState = 'Unsubscribed').

    Die Ressource kann nicht durch den Kunden abbestellt werden.

Ablauf der Bestellung einer mehrfach zu-/abbestellbaren Ressource

  1. Ein Kunde bestellt im Web Portal eine mehrfach zu-/abbestellbare Ressource.
  2. Die Bestellung durchläuft das zugeordnete Genehmigungsverfahren und wird genehmigt.

    Die Bestellung wird nur in der Tabelle PersonWantsOrg gespeichert. Es entsteht kein Eintrag in der Tabelle PersonInITShopOrg.

  3. Die Bestellung erhält den Status "Zugewiesen" (PersonWantsOrg.OrderState = 'Assigned').

    Die Ressource kann über das Web Portal abbestellt werden.

TIPp: Um bei der Genehmigung einer mehrfach bestellbaren Ressource eine bestimmte Aktion auszulösen, definieren Sie kundenspezifische Prozesse mit dem Basisobjekt PersonWantsOrg für das Ereignis OrderGranted. Weitere Informationen finden Sie im Dell One Identity Manager Konfigurationshandbuch.

Verwandte Themen

Zeitlich begrenzte Bestellungen

Ablauf einer Bestellung > Zeitlich begrenzte Bestellungen

Der Kunde behält ein bestelltes Produkt in der Regel bis zu dem Zeitpunkt, an dem er es selbst wieder abbestellt. Bisweilen werden Produkte jedoch nur für eine bestimmte Zeitspanne benötigt und könnten nach dieser Zeitspanne automatisch abbestellt werden. Produkte, die für eine zeitlich begrenzte Bestellung vorgesehen sind, müssen mit einem Gültigkeitszeitraum gekennzeichnet werden. Weitere Informationen finden Sie unter Produkte für zeitlich begrenzte Bestellungen.

Bei der Bestellung eines zeitlich begrenzten Produktes berechnet der One Identity Manager Datum und Uhrzeit, zu denen das Produkt automatisch abbestellt wird (Gültig bis/Ablaufdatum der Bestellung), aus dem aktuellen Datum und dem Gültigkeitszeitraum, der an der Leistungsposition angegeben ist. Diese Zeitangabe kann bei der Bestellung bei Bedarf weiter angepasst werden.

Sobald eine Bestellung von allen Entscheidern genehmigt wurde, wird das Ablaufdatum aus dem Datum der Genehmigung und dem Gültigkeitszeitraum neu berechnet. Damit ist sichergestellt, dass der Gültigkeitszeitraum ab dem Tag der Zuweisung wirksam wird.

Zusätzlich kann bei der Bestellung ein Gültig von-Datum angegeben werden. Damit wird festgelegt, zu welchem Zeitpunkt eine Zuweisung wirksam werden soll. Ist dieses Datum angegeben, wird das Ablaufdatum aus dem Gültig von-Datum und dem Gültigkeitszeitraum berechnet. Wenn der Gültigkeitszeitraum zum Zeitpunkt der Genehmigung bereits abgelaufen ist, kann die Bestellung nicht mehr genehmigt werden. Die Bestellung wird mit einer Fehlermeldung abgebrochen.

Abbestellungen können ein Gültigkeitsdatum erhalten. Damit wird für unbefristete Bestellungen festgelegt, wann die Abbestellung wirksam werden soll. Für Bestellungen mit einem Gültigkeitszeitraum kann das Ablaufdatum auf diese Weise geändert werden; der Gültigkeitszeitraum des Produkts wird damit unwirksam. Sobald die Abbestellung genehmigt wurde, wird das Gültigkeitsdatum der Abbestellung als neues Ablaufdatum der Bestellung übernommen.

Vor Erreichen des Ablaufdatums erhält der Empfänger der Bestellung eine Benachrichtigung und hat die Möglichkeit die Bestellung zu verlängern. Weitere Informationen finden Sie unter Ablauf einer befristeten Bestellung. Bei Ablauf des Gültigkeitszeitraums wird die Bestellung abgebrochen.

Der Kunde hat die Möglichkeit eine Bestellung zu verlängern. Nutzt der Kunde diese Möglichkeit, so muss die Verlängerung (wie bereits die ursprüngliche Bestellung) durch ein Genehmigungsverfahren entschieden werden. Wird die Verlängerung abgelehnt, läuft die Originalbestellung zum angegebenen Ablaufdatum aus. Verlängerungen können ebenfalls durch ein Gültigkeitsdatum befristet werden.

Eine zeitlich begrenzte Bestellung könnte beispielsweise wie folgt ablaufen:

Leistungsposition Max. Tage gültig: 90
Bestellung am: 2.1.2017 Gültig bis: 1.4.2017 23:59 Uhr
Genehmigung am: 5.1.2017 Gültig bis: 5.4.2017 23:59 Uhr
Verlängerung am: 31.3.2017 Verlängerung gültig bis: 30.4.2017 12:00 Uhr
Genehmigung am: 2.4.2017 Gültig bis: 30.4.2017 12:00 Uhr
Abbestellung am: 10.4.2017 Abbestellt ab: 14.4.2017 23:59 Uhr
Genehmigung am: 11.4.2017 Gültig bis: 14.4.2017 23:59 Uhr

Über einen zeitgesteuerten DBQueue Prozessor Auftrag prüft der One Identity Manager, ob das Ablaufdatum der Bestellung überschritten ist. Dabei vergleicht er gegen die aktuelle UTC Zeit. Wenn das Ablaufdatum überschritten ist, wird die Bestellung abgebrochen; resultierende Zuweisungen werden entfernt.

HINWEIS: Beachten Sie, dass Uhrzeiten in den Werkzeugen des One Identity Manager, beispielsweise im Web Portal, in der lokalen Zeit des Benutzers angezeigt werden.

Wenn ein Kunde ein Produkt zeitlich begrenzt bestellt hat, muss bei jeder weiteren Bestellung dieses Produkts für denselben Kunden geprüft werden, ob der Gültigkeitszeitraum für die neue Bestellung zulässig ist. Ist der Gültigkeitszeitraum nicht zulässig, wird die Bestellung nicht angenommen. Standardmäßig sind neue Bestellungen zulässig, wenn sie einen Zeitraum berühren, der durch keine offene Bestellung abgedeckt ist. Dabei dürfen sich die Gültigkeitszeiträume verschiedener Bestellungen überschneiden. Das gewünschte Verhalten bei der Gültigkeitsprüfung kann über Konfigurationsparameter definiert werden. Weitere Informationen finden Sie unter Gültigkeitszeitraum von Bestellungen prüfen.

Gültigkeitszeitraum von Bestellungen prüfen

Ablauf einer Bestellung > Zeitlich begrenzte Bestellungen > Gültigkeitszeitraum von Bestellungen prüfen

Gültigkeitszeitraum von Bestellungen prüfen

Tabelle 73: Konfigurationsparameter für das Zurücksetzen von Genehmigungsverfahren
Konfigurationsparameter Bedeutung
QER\ITShop\GapBehavior Definiert das Verhalten bei der Prüfung des Gültigkeitszeitraums für neue Bestellungen.
QER\ITShop\GapBehavior\GapDefinition Der Konfigurationsparameter legt fest, welche Bestellungen bei der Überprüfung berücksichtigt werden.
QER\ITShop\GapBehavior\GapFitting Der Konfigurationsparameter gibt an, ob sich die Gültigkeitszeiträume von zwei oder mehr offenen Bestellungen überschneiden dürfen.

Wenn ein Kunde ein Produkt zeitlich begrenzt bestellt hat, muss bei jeder weiteren Bestellung dieses Produkts für denselben Kunden geprüft werden, ob der Gültigkeitszeitraum für die neue Bestellung zulässig ist. Ist der Gültigkeitszeitraum nicht zulässig, wird die Bestellung nicht angenommen. Standardmäßig sind neue Bestellungen zulässig, wenn sie einen Zeitraum berühren, der durch keine offene Bestellung abgedeckt ist. Dabei dürfen sich die Gültigkeitszeiträume verschiedener Bestellungen überschneiden. Das gewünschte Verhalten bei der Gültigkeitsprüfung kann über Konfigurationsparameter definiert werden. Die Konfigurationsparameter sind standardmäßig aktiviert. Bei der Prüfung werden alle Bestellungen ein und desselben Produkts für denselben Bestellempfänger berücksichtigt, auch wenn das Produkt aus verschiedenen Regalen bestellt wurde.

Um ein abweichendes Verhalten zu definieren

  • Aktivieren Sie im Designer die gewünschte Option für die Konfigurationsparameter "QER\ITShop\GapBehavior\GapDefinition" und "QER\ITShop\GapBehavior\GapFitting".

Tabelle 74: Wirkung des Konfigurationsparameters "QER\ITShop\GapBehavior\GapDefinition"
Option Beschreibung
0 Bei der Prüfung werden nur offene Bestellungen berücksichtigt. (Standard)
1 Bei der Prüfung werden nur genehmigte Bestellungen berücksichtigt.
2 Bei der Prüfung werden nur zugewiesene Bestellungen berücksichtigt.
Tabelle 75: Wirkung des Konfigurationsparameters "QER\ITShop\GapBehavior\GapFitting"
Option Beschreibung
0 Die Gültigkeitszeiträume dürfen sich überschneiden. (Standard)

Eine neue Bestellung wird angenommen, wenn deren Gültigkeitszeitraum mindestens einen freien Zeitraum zwischen zwei bestehenden Bestellungen trifft.

1 Die Gültigkeitszeiträume dürfen sich nicht überschneiden.

Eine neue Bestellung wird angenommen, wenn deren Gültigkeitszeitraum genau einen freien Zeitraum zwischen zwei bestehenden Bestellungen trifft.

2 Der Gültigkeitszeitraum wird nicht geprüft.

Bestellungen werden angenommen, auch wenn es für denselben Gültigkeitszeitraum bereits eine Bestellung gibt.

Wenn die Konfigurationsparameter deaktiviert sind, verhält sich der One Identity Manager wie bei Option 0.

Abbildung 12: Beispiel für mögliche Gültigkeitszeiträume für GapDefinition = 0 und GapFitting = 0

Abbildung 13: Beispiel für mögliche Gültigkeitszeiträume für GapDefinition = 1 und GapFitting = 1

Verwandte Themen

Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften

Ablauf einer Bestellung > Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften

Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften

Tabelle 76: Konfigurationsparameter für Ersatzbestellungen von entfernten Rollenmitgliedschaften
Konfigurationsparameter Bedeutung
QER\ITShop\ChallengeRoleRemoval Allgemeiner Konfigurationsparameter zum Umgang mit primären Rollenmitgliedschaften, die durch Datenimporte geändert wurden. Entfernte Rollenmitgliedschaften können durch zeitlich begrenzte Bestellungen aufrecht erhalten werden.
QER\ITShop\ChallengeRoleRemoval\DaysOfValidity Dieser Konfigurationsparameter enthält den Gültigkeitszeitraum (in Tagen) von temporären Bestellungen für entfernte Rollenmitgliedschaften.
QER\ITShop\ChallengeRoleRemoval\ITShopOrg Dieser Konfigurationsparameter enthält den Produktknoten, dem die zu bestellende Zuweisungsressource zugewiesen ist.
QER\ITShop\ChallengeRoleRemoval\Department Zeitliche begrenzte Bestellungen von Mitgliedschaften in Abteilungen werden unterstützt.
QER\ITShop\ChallengeRoleRemoval\Department\Primary Bei Änderung der primären Mitgliedschaft in Abteilungen wird eine temporäre Mitgliedschaft in der bisherigen Abteilung bestellt.
QER\ITShop\ChallengeRoleRemoval\Locality Zeitliche begrenzte Bestellungen von Mitgliedschaften in Standorten werden unterstützt.
QER\ITShop\ChallengeRoleRemoval\Locality\
Primary
Bei Änderung der primären Mitgliedschaft in Standorten wird eine temporäre Mitgliedschaft im bisherigen Standort bestellt.
QER\ITShop\ChallengeRoleRemoval\Org Zeitliche begrenzte Bestellungen von Mitgliedschaften in Geschäftsrollen werden unterstützt.
QER\ITShop\ChallengeRoleRemoval\Org\Primary Bei Änderung der primären Mitgliedschaft in Geschäftsrollen wird eine temporäre Mitgliedschaft in der bisherigen Geschäftsrolle bestellt.
QER\ITShop\ChallengeRoleRemoval\ProfitCenter Zeitliche begrenzte Bestellungen von Mitgliedschaften in Kostenstellen werden unterstützt.
QER\ITShop\ChallengeRoleRemoval\ProfitCenter\Primary Bei Änderung der primären Mitgliedschaft in Kostenstellen wird eine temporäre Mitgliedschaft in der bisherigen Kostenstelle bestellt.

Wechselt eine Person ihre primäre Abteilung (Geschäftsrolle, Kostenstelle oder den Standort), verliert sie alle darüber vererbten Unternehmensressourcen und Systemberechtigungen. Mitunter kann es erforderlich sein, dass die Person diese Unternehmensressourcen und Systemberechtigungen für einen bestimmten Zeitraum behält. Mit einer zeitlich begrenzten Bestellung kann die bisherige Mitgliedschaft der Person aufrecht erhalten werden. Die vererbten Zuweisungen werden erst nach Ablauf des Gültigkeitszeitraums dieser Bestellung entfernt. Innerhalb des Gültigkeitszeitraums kann die Person die Bestellung verlängern.

Voraussetzungen

  • Personenstammdaten werden durch einen Import geändert.
  • Der Import setzt die Session-Variable FullSync=TRUE.

Um automatische Bestellungen für entfernte Rollenmitgliedschaften zu konfigurieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter „QER\ITShop\ChallengeRoleRemoval“.
  2. Aktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\ChallengeRoleRemoval\DaysOfValidity" und geben Sie den Gültigkeitszeitraum für die Bestellungen an.
  3. Aktivieren Sie im Designer die Konfigurationsparameter unterhalb von „QER\ITShop\ChallengeRoleRemoval“ für die Rollen, deren primäre Mitgliedschaften bei Änderung erhalten bleiben sollen.
  4. Übernehmen Sie die Änderungen in die Datenbank.

HINWEIS: Die Konfigurationsparameter sind standardmäßig aktiviert. Der Gültigkeitszeitraum ist auf 7 Tage festgelegt.

Wenn durch einen Import Personenstammdaten geändert werden, prüft der One Identity Manager beim Speichern, ob eine primäre Rollenmitgliedschaft (beispielsweise Person.UID_Department) geändert oder gelöscht wurde. Ist das der Fall, wird das Skript VI_CreateRequestForLostRoleMembership ausgeführt. Das Skript erzeugt eine zeitlich begrenzte Zuweisungsbestellung dieser Rolle, die automatisch genehmigt wird. Die Person bleibt damit Mitglied der Rolle und behält ihre Unternehmensressourcen und Systemberechtigungen. Nach Ablauf des Gültigkeitszeitraums wird die Bestellung automatisch abbestellt.

Während des Gültigkeitszeitraums kann die Bestellung verlängert werden. Die Verlängerungsbestellung muss durch den Manager der Rolle entschieden werden. Bei Genehmigung wird sie in eine unbefristete Bestellung umgewandelt. Die Rollenmitgliedschaft bleibt bestehen, bis die Zuweisung abbestellt wird.

TIPP: Im Konfigurationsparameter "QER\ITShop\ChallengeRoleRemoval\ITShopOrg" ist festgelegt, welcher Produktknoten für die zeitlich begrenzte Bestellung geänderter Rollenmitgliedschaften verwendet werden soll. Das Produkt "Infragestellen der Entfernung von primären Rollenzuweisungen" steht standardmäßig im Regal "Identity & Access Lifecycle\Identity Lifecycle" bereit. Sie können dieses Produkt auch in eine eigene IT Shop-Lösung aufnehmen.

Um das Produkt "Infragestellen der Entfernung von primären Rollenzuweisungen" in einer eigenen IT Shop-Lösung zu nutzen

  1. Weisen Sie die Zuweisungsressource "Infragestellen der Entfernung von primären Rollenzuweisungen" an ein eigenes Regal zu.
  2. Bearbeiten Sie im Designer den Wert des Konfigurationsparameters "QER\ITShop\ChallengeRoleRemoval\ITShopOrg".
    • Geben Sie den vollständigen Namen oder die UID des neuen Produktknotens an.
Related Documents