Chat now with support
Chat with Support

Identity Manager 7.1.3 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Erfassen von Leistungspositionen Erfassen von Servicekategorien Erfassen produktspezifischer Bestelleigenschaften Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Erfassen von Nutzungsbedingungen Erfassen von Schlagworten
Zuweisen und Entfernen der Produkte Vorbereiten des s für die Multifaktor-Authentifizierung Zuweisungsbestellung und Delegierung Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Gruppen automatisch in den IT Shop aufnehmen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien bearbeiten Entscheidungsworkflows Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Genehmigung von Bestellungen eines Entscheiders Automatische Entscheidung von Bestellungen Einholen weiterer Informationen zur Bestellung durch einen Entscheider Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen Bestellvorlagen
Standardlösungen für die Bestellung von Systemberechtigungen Fehlerbehebung Anhang: Konfigurationsparameter für IT Shop Anhang: Status von Bestellungen Anhang: Beispiele für das Ergebnis von Bestellungen Informationen zu Dell

Benachrichtigung bei Massendelegierungen

Ablauf einer Bestellung > Benachrichtigungen im Bestellprozess > Benachrichtigung bei Massendelegierungen

Benachrichtigung bei Massendelegierungen

Tabelle 96: Konfigurationsparameter für die Benachrichtigung von Delegierenden
Konfigurationsparameter Bedeutung
QER\ITShop\MailTemplateIdents\InformRequestorAboutMassDelegationErrors Mailvorlage, die genutzt wird, um eine Benachrichtigung an einen Delegierenden zu versenden, wenn Massendelegierungen fehlgeschlagen sind.

Im Web Portal haben Sie die Möglichkeit alle Ihre Verantwortlichkeiten zugleich an eine Person zu delegieren. Wenn Sie sehr viele Verantwortlichkeiten haben, kann es vorkommen, dass nicht alle Delegierungen durchgeführt werden. Ein Delegierender kann sich bei Bedarf benachrichtigen lassen, wenn ein solcher Fehler auftritt.

Um eine Benachrichtigung zu versenden, wenn Massendelegierungen fehlschlagen

  • Aktivieren Sie im Designer den Konfigurationsparameter „QER\ITShop\MailTemplateIdents\InformRequestorAboutMassDelegationErrors“.

    Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage "Delegierung - Fehler bei der Massendelegierung" versendet.

TIPP: Um eine andere als die Standardmailvorlage für diese Benachrichtigungen zu nutzen, ändern Sie den Wert des Konfigurationsparameters.

Verwandte Themen

Entscheidung per E-Mail

Ablauf einer Bestellung > Entscheidung per E-Mail

Entscheidung per E-Mail

Tabelle 97: Konfigurationsparameter für die Entscheidung per E-Mail
Konfigurationsparameter Bedeutung
QER\ITShop\MailApproval\Inbox Microsoft Exchange Postfach, welches für Prozesse der "Genehmigung per E-Mail" genutzt wird.
QER\ITShop\MailApproval\Account Name des Benutzerkontos zur Authentifizierung am "Genehmigung per E-Mail" Postfach.
QER\ITShop\MailApproval\Domain Domäne des Benutzerkontos zur Authentifizierung am "Genehmigung per E-Mail" Postfach.
QER\ITShop\MailApproval\Password Kennwort des Benutzerkontos zur Authentifizierung am "Genehmigung per E-Mail" Postfach.
QER\ITShop\MailTemplateIdents\ITShopApproval Mailvorlage, die genutzt wird, um Bestellungen durch "Genehmigung per E-Mail" zu entscheiden.
QER\ITShop\MailApproval\DeleteMode Gibt die Art und Weise an, wie E-Mails im Posteingang gelöscht werden sollen.

Um Entscheidern, die zeitweilig keinen Zugang zu den One Identity Manager Werkzeugen haben, die Möglichkeit zu geben, Bestellungen zu entscheiden, können Sie die Entscheidung per E-Mail einrichten. Dabei erhalten die Entscheider eine E-Mail-Benachrichtigung, wenn für sie eine Bestellung zur Entscheidung vorliegt. Über entsprechende Links in der E-Mail können die Entscheider die Entscheidung treffen, ohne sich mit dem Web Portal zu verbinden. Dabei wird eine E-Mail generiert, die die Entscheidung enthält und in der der Entscheider eine Begründung seiner Entscheidung erfassen soll. Diese E-Mail wird an ein zentrales Microsoft Exchange Postfach gesendet. Der One Identity Manager überprüft das Postfach regelmäßig, wertet die eingegangenen E-Mails aus und aktualisiert entsprechend den Status der Bestellvorgänge.

WICHTIG: Eine Entscheidung per E-Mail ist nicht möglich, wenn für das bestellte Produkt die Multifaktor-Authentifizierung konfiguriert ist. Entscheidungsmails für solche Bestellungen bewirken eine Fehlermeldung.

Voraussetzungen

  1. Konfiguration der Microsoft Exchange Umgebung mit
    • Microsoft Exchange Client Access Server Version 2007, Service Pack 1 oder höher
    • Microsoft Exchange Web Service .NET API Version 1.2.1, 32 Bit
  2. Das Benutzerkonto, mit dem sich der One Identity Manager an der Microsoft Exchange Umgebung anmeldet, benötigt Vollzugriff auf das Postfach, das im Konfigurationsparameter „QER\ITShop\MailApproval\Inbox“ angegeben ist.
  3. Der Konfigurationsparameter „QER\ITShop\MailTemplateIdents\RequestApproverByCollection“ ist deaktiviert.

Um die Entscheidung per E-Mail einzurichten

  1. Aktivieren Sie im Designer den Konfigurationsparameter „QER\ITShop\MailApproval\Inbox“ und geben Sie das Postfach an, an das Entscheidungsmails gesendet werden sollen.
  2. Richten Sie den Zugriff auf das Postfach ein.
    1. Standardmäßig nutzt der One Identity Manager das Benutzerkonto des One Identity Manager Services, um sich am Microsoft Exchange Server anzumelden und auf das Postfach zuzugreifen.

      – ODER –

    2. Geben Sie ein separates Benutzerkonto für die Anmeldung am Microsoft Exchange Server zum Zugriff auf das Postfach an. Aktivieren Sie dafür die folgenden Konfigurationsparameter.
      Tabelle 98: Konfigurationsparameter für die Anmeldung am Microsoft Exchange Server
      Konfigurationsparameter Bedeutung
      QER\ITShop\MailApproval\Account Name des Benutzerkontos.
      QER\ITShop\MailApproval\Domain Domäne des Benutzerkontos.
      QER\ITShop\MailApproval\Password Kennwort des Benutzerkontos.
  3. Aktivieren Sie im Designer den Konfigurationsparameter „QER\ITShop\MailTemplateIdents\ITShopApproval“.

    An diesem Konfigurationsparameter ist die Mailvorlage hinterlegt, die genutzt wird, um die Entscheidungsmail zu erstellen. Sie können die Standardmailvorlage nutzen oder eine unternehmensspezifische Mailvorlage hinterlegen.

    TIPP: Um eine unternehmensspezifische Mailvorlage für Entscheidungsmails zu nutzen, ändern Sie den Wert des Konfigurationsparameters. Passen Sie in diesem Fall auch das Skript VI_MailApproval_ProcessMail an.

  4. Ordnen Sie an den Entscheidungsschritten folgende Mailvorlagen zu.
    Tabelle 99: Mailvorlagen für die Entscheidung per E-Mail
    Eigenschaft Mailvorlage
    Mailvorlage Aufforderung IT Shop Bestellung - Aufforderung zur Entscheidung (per E-Mail)
    Mailvorlage Erinnerung IT Shop Bestellung - Erinnerung Entscheider (per E-Mail)
    Mailvorlage Delegierung IT Shop Bestellung - Delegierte/zusätzliche Entscheidung (per E-Mail)
    Mailvorlage Zurückweisung IT Shop Bestellung - Ablehnung Entscheidung (per E-Mail)
  5. Konfigurieren und aktivieren Sie im Designer den Zeitplan „Verarbeiten der IT Shop Genehmigungen per E-Mail“.

    Entsprechend diesem Zeitplan überprüft der One Identity Manager regelmäßig das Postfach nach neuen Entscheidungsmails. Standardmäßig wird das Postfach alle 15 Minuten überprüft. Sie können das Ausführungsintervall des Zeitplans entsprechend ihren Erfordernissen anpassen.

Um das Postfach aufzuräumen

  • Aktivieren Sie im Designer den Konfigurationsparameter „QER\ITShop\MailApproval\DeleteMode“ und wählen Sie einen der folgenden Werte.
    Tabelle 100: Aufräumen eines Postfachs
    Wert Verfahren
    HardDelete Die verarbeitete E-Mail wird sofort gelöscht.
    MoveToDeletedItems Die verarbeitete E-Mail wird in den Ordner „Gelöschte Objekte“ des Postfachs verschoben.
    SoftDelete Die verarbeitete E-Mail wird in den Active Directory Papierkorb verschoben und kann bei Bedarf wiederhergestellt werden.

    HINWEIS: Bei Einsatz der Aufräumverfahren MoveToDeletedItems oder SoftDelete sollten Sie den Ordner „Gelöschte Objekte“ bzw. den Active Directory Papierkorb in regelmäßigen Abständen leeren.

Verwandte Themen

Verarbeitung einer Entscheidungsmail

Ablauf einer Bestellung > Entscheidung per E-Mail > Verarbeitung einer Entscheidungsmail
Tabelle 101: Konfigurationsparameter für die Entscheidung per E-Mail
Konfigurationsparameter Bedeutung
QER\ITShop\MailApproval\ExchangeURI Angabe der Exchange Web Service URL. Ist diese nicht spezifiziert, wird der AutoDiscover-Modus zur Erkennung der URL verwendet.

Der Zeitplan „Verarbeiten der IT Shop Genehmigungen per E-Mail“ startet den Prozess VI_ITShop_Process Approval Inbox. Dieser Prozess führt das Skript VI_MailApproval_ProcessInBox aus, welches das Postfach nach neuen Entscheidungsmails durchsucht und die Bestellvorgänge in der One Identity Manager Datenbank aktualisiert. Danach wird der Inhalt der Entscheidungsmail verarbeitet.

HINWEIS: Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!

Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der One Identity Manager Service läuft, diesem Rootzertifikat vertrauen.

TIPP: Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover-Dienst läuft.

Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter „QER\ITShop\MailApproval\ExchangeURI“ an.

Entscheidungsmails werden durch das Skript VI_MailApproval_ProcessMail verarbeitet. Das Skript ermittelt die getroffene Entscheidung, setzt die Option Genehmigt und hinterlegt die Begründung für die Entscheidung an den Bestellvorgängen. Über die Absenderadresse wird der Entscheider ermittelt. Danach wird die Entscheidungsmail abhängig vom gewählten Aufräumverfahren aus dem Postfach entfernt.

HINWEIS: Wenn Sie eine unternehmensspezifische Mailvorlage für die Entscheidungsmail nutzen, prüfen Sie das Skript und passen Sie es gegebenenfalls an. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!

Bestellungen von dauerhaft deaktivierten Personen

Ablauf einer Bestellung > Bestellungen von dauerhaft deaktivierten Personen

Bestellungen von dauerhaft deaktivierten Personen

Tabelle 102: Konfigurationsparameter zum Löschen von abgeschlossenen Bestellungen
Konfigurationsparameter Wirkung
QER\ITShop\AutoCloseInactivePerson Der Konfigurationsparameter legt fest, ob Personen aus allen Kundenknoten entfernt werden sollen, wenn sie dauerhaft deaktiviert werden.

Standardmäßig bleiben dauerhaft deaktivierte Personen Mitglied in allen Kundenknoten. Damit bleiben auch alle offenen Bestellungen und die daraus resultierenden Zuweisungen erhalten. Der One Identity Manager kann so konfiguriert werden, dass eine Person automatisch aus allen Kundenknoten entfernt wird, sobald sie dauerhaft deaktiviert wird. Damit werden alle offenen Bestellungen abgebrochen und die bestehenden Zuweisungen werden entfernt.

Um Personen automatisch aus allen Kundenknoten zu entfernen, wenn sie dauerhaft deaktiviert werden

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\AutoCloseInactivePerson".

Related Documents