Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Auswahl der verantwortlichen Attestierer

Der One Identity Manager kann die Entscheidungen in einem Attestierungsverfahren automatisch treffen oder durch Attestierer treffen lassen. Ein Attestierer ist eine Person oder eine Gruppe von Personen, die innerhalb eines Attestierungsverfahrens einen Attestierungsvorgang genehmigen oder ablehnen kann. Wer die Entscheidungen trifft, wird über verschiedene Entscheidungsverfahren ermittelt. Welches Entscheidungsverfahren angewendet werden soll, wird am Entscheidungsschritt festgelegt.

Werden durch ein Entscheidungsverfahren mehrere Personen als Entscheider ermittelt, dann bestimmt die am Entscheidungsschritt angegebene Anzahl, wie viele Personen diesen Schritt entscheiden müssen. Erst danach wird der Attestierungsvorgang den Attestierern der nächsten Ebene vorgelegt. Kann für einen Entscheidungsschritt kein Entscheider ermittelt werden, wird das Attestierungsverfahren abgebrochen.

Der One Identity Manager stellt standardmäßig Entscheidungsverfahren bereit. Zusätzlich können Sie eigene Entscheidungsverfahren definieren.

Welche Person, in welcher Entscheidungsebene entscheidungsberechtigt ist, wird durch den DBQueue Prozessor berechnet. Beachten Sie bei der Einrichtung von Entscheidungsworkflows die Besonderheiten der einzelnen Entscheidungsverfahren zur Ermittlung der entscheidungsberechtigten Personen.

Standard-Entscheidungsverfahren

Standard-Entscheidungsverfahren

Um Standard-Entscheidungsverfahren anzuzeigen

  • Wählen Sie die Kategorie Attestierung | Basisdaten zur Konfiguration | Entscheidungsverfahren | Vordefiniert.

Für die Auswahl der verantwortlichen Attestierer sind standardmäßig die nachfolgend aufgeführten Entscheidungsverfahren bereitgestellt.

Tabelle 27: Entscheidungsverfahren für Attestierung
Abkürzung Bezeichnung des Verfahrens Attestierer
AA Attestierer der zu attestierenden Rolle

Attestierer der Organisation (Abteilung, Standort, Kostenstelle), Geschäftsrolle oder des IT Shops, wenn Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen attestiert werden.

  • Attestierer für Abteilungen, Kostenstellen und Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
  • Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.
  • Attestierer für Bestellungen müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.
AD Attestierer der Abteilung des Empfängers

Attestierer der Abteilung, die dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Abteilungen müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
AL Attestierer des Standorts des Empfängers

Attestierer des Standorts, der dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
AN Attestierer der zu attestierenden Systemberechtigung

Attestierer der Systemberechtigung oder Systemrolle, wenn Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen attestiert werden. Die Attestierer werden über die zugeordnete Leistungsposition ermittelt.

  • Attestierer müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.
AO Attestierer der primären Rolle des Empfängers

Attestierer der Geschäftsrolle, die dem Attestierungsobjekt primär zugeordnet ist.

Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.

AP Attestierer der Kostenstelle des Empfängers

Attestierer der Kostenstelle, die dem Attestierungsobjekt primär zugeordnet ist.

  • Attestierer für Kostenstellen müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
AR Attestierer der zu attestierenden Complianceregel

Attestierer der Complianceregel, die attestiert wird.

  • Attestierer müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Attestierer zugewiesen sein.
AS Entscheider der Attestierungsrichtlinie Alle Personen, die als Entscheider der Attestierungsrichtlinie zugewiesen sind.
AT Attestierer der zu attestierenden Organisation

Attestierer der Organisation (Abteilung, Standort, Kostenstelle), Geschäftsrolle oder des IT Shops, die/der attestiert wird.

  • Attestierer für Abteilungen, Kostenstellen und Standorte müssen der Anwendungsrolle Identity Management | Organisationen | Attestierer zugewiesen sein.
  • Attestierer für Geschäftsrollen müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer zugewiesen sein.
  • Attestierer für Bestellungen müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Attestierer zugewiesen sein.
AY Attestierer der zu attestierenden Unternehmensrichtlinie

Attestierer der Unternehmensrichtlinie, die attestiert wird.

  • Attestierer müssen der Anwendungsrolle Identity & Access Governance | Unternehmensrichtlinien | Attestierer zugewiesen sein.
CD Errechnete Entscheidung -
CM Manager des Empfängers Manager der Person, die attestiert wird.
DM Abteilungsleiter des Empfängers Manager/Stellvertreter der Abteilung, wenn Personen oder sekundäre Mitgliedschaften in Abteilungen attestiert werden.
ED Abteilungsleiter bei Attestierung einer Systemberechtigung Abteilungsleiter der Person, deren Systemberechtigungen attestiert werden.
EM Manager der Person bei Attestierung einer Systemberechtigung Manager der Person, deren Systemberechtigungen attestiert werden.
EN Zielsystemverantwortliche der zu attestierenden Systemberechtigung Zielsystemverantwortliche der Systemberechtigung, die attestiert wird.
EO Produkteigner der zu attestierenden Systemberechtigung Produkteigner, der Systemberechtigung oder der Systemrolle, die attestiert wird.
EX Extern vorzunehmende Entscheidung -
LM Manager des Standorts Manager/Stellvertreter des Standorts, wenn Personen oder sekundäre Mitgliedschaften in Standorten attestiert werden.
MO Manager der Geschäftsrolle Manager/Stellvertreter der Geschäftsrolle, wenn Personen oder sekundäre Mitgliedschaften in Geschäftsrollen attestiert werden.
OA Produkteigner Alle Mitglieder der zugeordneten Anwendungsrolle, wenn Leistungspositionen oder Systemberechtigungen attestiert werden.
OM Manager einer bestimmten Rolle Manager, der im Entscheidungsworkflow festgelegten Rolle.
OR Mitglieder einer bestimmten Rolle Alle Personen, die der im Entscheidungsworkflow festgelegten Rolle sekundär zugewiesen sind.
PA Zusätzlicher Besitzer der Active Directory Gruppe Alle Personen, die über den zusätzlichen Besitzer der zu attestierenden Active Directory Gruppe ermittelt werden können.
PM Kostenstellenverantwortliche des Empfängers Verantwortlicher/Stellvertreter der Kostenstelle, wenn sekundäre Mitgliedschaften in Kostenstellen attestiert werden.
RE Verantwortlicher der zu attestierenden Systemrolle Verantwortlicher der Systemrolle, die attestiert wird.
RM Manager der Rolle bei Attestierung von Mitgliedschaften Manager der zu attestierenden Rolle, wenn sekundäre Mitgliedschaften in Rollen attestiert werden.
RR Manager der Rolle bei Attestierung von Rollen Manager der zu attestierenden Rolle.
SO Zielsystemverantwortliche der zu attestierenden Berechtigung Zielsystemverantwortliche der Systemberechtigung oder des Benutzerkontos, das attestiert wird.
WC Warten auf andere Entscheidung -

Attestierer über die Attestierungsrichtlinie ermitteln

Attestierer über die Attestierungsrichtlinie ermitteln

Wenn Sie die Attestierer für beliebige Objekte an einer Attestierungsrichtlinie festlegen wollen, nutzen Sie das Entscheidungsverfahren "AS". Das Entscheidungsverfahren ermittelt alle Personen, die als Entscheider der Attestierungsrichtlinie zugewiesen sind.

Mit diesem Verfahren können Sie beliebige Objekte durch beliebige, festgelegte Personen attestieren lassen. Diese Personen müssen als Entscheider der Attestierungsrichtlinie zugewiesen sein. Die Attestierer können auch beim Erstellen von Attestierungsrichtlinien im Web Portal angegeben werden. Ausführliche Informationen dazu finden Sie im One Identity Manager Anwenderhandbuch für das Web Portal.

Verwandte Themen

Attestierer über die Rolle der zu attestierenden Person ermitteln

Attestierer über die Rolle der zu attestierenden Person ermitteln

Installierte Module: Geschäftsrollenmodul (für Entscheidungsverfahren "AO")

Wenn Sie Zuweisungen von Unternehmensressourcen zu Ihren Mitarbeitern oder Bestellungen Ihrer Mitarbeiter attestieren wollen, nutzen Sie die Entscheidungsverfahren "AD", "AL", "AO" oder "AP". Die ermittelten Attestierer sind Mitglied der Anwendungsrolle Attestierer.

Attestierungsobjekte sind Personen (Tabelle: Person) oder Empfänger einer Bestellung (Tabelle: PersonWantsOrg). Die Entscheidungsverfahren ermitteln zu jedem Attestierungsobjekt den Attestierer der Rolle (Abteilung, Standort, Geschäftsrolle, Kostenstelle), die dem Attestierungsobjekt primär zugeordnet ist. Ist der primär zugeordneten Rolle kein Attestierer direkt zugeordnet, ermittelt das Entscheidungsverfahren den Attestierer übergeordneter Rollen. Wird auch auf diesem Weg kein Attestierer gefunden, wird der Attestierungsvorgang dem Attestierer der zugehörigen Rollenklasse zur Entscheidung vorgelegt.

Hinweis: Wenn die Attestierer über das Entscheidungsverfahren "AO" ermittelt werden und für die Geschäftsrollen "Bottom-Up-Vererbung" festgelegt ist, beachten Sie Folgendes:

Wenn der primär zugeordneten Geschäftsrolle kein Attestierer zugeordnet ist, werden die Attestierer der untergeordneten Geschäftsrolle ermittelt.

Verwandte Themen
Related Documents