Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Attestierer über Attestierungsobjekte ermitteln

Attestierer über Attestierungsobjekte ermitteln

Wenn Sie die Gültigkeit von Complianceregeln, Regelverletzungen, Unternehmensrichtlinien, Richtlinienverletzungen oder Abteilungen, Standorten, Kostenstellen oder Geschäftsrollen attestieren wollen, nutzen Sie die Entscheidungsverfahren "AR", "AY" oder "AT". Das Verfahren "AT" eignet sich auch, um Zuweisungen an IT Shop-Strukturen (Shops, Shoppingcenter oder Regale) zu attestieren. Um Zuweisungen von Systemberechtigungen oder Systemrollen zu Abteilungen, Standorten, Kostenstellen, Geschäftsrollen oder IT Shop-Strukturen zu attestieren, nutzen Sie die Entscheidungsverfahren "AA" oder "AN". Die ermittelten Attestierer sind Mitglied der Anwendungsrolle Attestierer.

  Basisobjekte der Attestierung Verfügbar im Modul
AR

Regeln (ComplianceRule)

Regelverletzungen (PersonInNonCompliance)

Modul Complianceregeln
AY

Unternehmensrichtlinien (QERPolicy)

Richtlinienverletzungen (QERPolicyHasObject)

Modul Unternehmensrichtlinien
AT

Abteilungen (Department)

IT Shop Strukturen (ITShopOrg)

Standorte (Locality)

Geschäftsrollen (Org)

Kostenstellen (ProfitCenter)

IT Shop Vorlagen (ITShopSrc)

 
AA, AN

Zuweisungen von Systemberechtigungen oder Zielsystemgruppen an Rollen (<BaseTree>HasUNSGroupB,

<BaseTree>HasADSGroup, <BaseTree>HasEBSResp, ...)

Zuweisungen von Systemrollen an Rollen (<BaseTree>HasESet)

Zielsystem Basismodul

Die Entscheidungsverfahren ermitteln den Attestierer, der dem Attestierungsobjekt zugeordnet ist. Das Entscheidungsverfahren "AA" ermittelt den Attestierer über die Rolle (Abteilungen, Standorte, Geschäftsrollen, Kostenstellen) oder IT Shop Strukturen (IT Shop Vorlagen). Das Entscheidungsverfahren "AN" ermittelt den Attestierer über die Leistungsposition, die der Systemberechtigung beziehungsweise Zielsystemgruppe zugeordnet ist.

Für die Entscheidungsverfahren "AT" und "AA" gilt darüber hinaus: Ist dem Attestierungsobjekt kein Attestierer direkt zugeordnet, ermittelt das Entscheidungsverfahren den Attestierer übergeordneter Rollen/IT Shop Strukturen. Wird auch auf diesem Weg kein Attestierer gefunden, wird der Attestierungsvorgang dem Attestierer der zugehörigen Rollenklasse zur Entscheidung vorgelegt.

Hinweis: Wenn das Basisobjekt der Attestierung eine Geschäftsrolle, IT Shop Strukturen oder IT Shop Vorlage beziehungsweise die Zuweisung an eine Geschäftsrolle, IT Shop Strukturen oder IT Shop Vorlage ist und für die zugehörige Rollenklasse "Bottom-Up-Vererbung" festgelegt ist, beachten Sie Folgendes:

  • Ist dem Attestierungsobjekt kein Attestierer direkt zugeordnet, ermittelt das Entscheidungsverfahren den Attestierer untergeordneter Rollen.
Verwandte Themen

Manager der Attestierungsobjekte als Attestierer ermitteln

Manager der Attestierungsobjekte als Attestierer ermitteln

Wenn Sie Personen, Rollen, Systemrollen, Rollenmitgliedschaften, Zuweisungen von Systemrollen oder Systemberechtigungen an Personen, Rollen oder IT Shop Strukturen durch deren Manager attestieren lassen wollen, nutzen Sie die Entscheidungsverfahren "CM", "DM", "LM", "MO", "RM", "RR" oder "RE".

Entscheidungsverfahren Basisobjekte der Attestierung Verfügbar im Modul
CM Personen (Person)  
DM

Personen (Person)

Personen: Mitgliedschaften in Abteilungen (PersonInDepartment)

 
LM

Personen (Person)

Personen: Mitgliedschaften in Standorten (PersonInLocality)

 
MO

Personen (Person)

Personen: Mitgliedschaften in Geschäftsrollen (PersonInOrg)

Geschäftsrollenmodul
PM

Personen (Person)

Personen: Mitgliedschaften in Kostenstellen (PersonInProfitCenter)

 
RE

Systemrollen (ESet)

Personen: Zuweisungen Systemrollen (PersonHasESet)

Abteilungen: Zuweisungen Systemrollen (DepartmentHasESet)

Geschäftsrollen: Zuweisungen Systemrollen (OrgHasESet)

IT Shop Strukturen: Zuweisungen Systemrollen (ITShopOrgHasESet)

IT Shop Vorlagen: Zuweisungen Systemrollen (ITShopSrcHasESet)

Kostenstellen: Zuweisungen Systemrollen (ProfitCenterHasESet)

Standorte: Zuweisungen Systemrollen (LocalityHasESet)

Systemrollenmodul
RM

Personen: Mitgliedschaften in Abteilungen (PersonInDepartment)

Personen: Mitgliedschaften in IT Shop Strukturen (PersonInITShopOrg)

Personen: Mitgliedschaften in Standorten (PersonInLocality)

Personen: Mitgliedschaften in Geschäftsrollen (PersonInOrg)

Personen: Mitgliedschaften in Kostenstellen (PersonInProfitCenter)

 
RR

Abteilungen (Department)

IT Shop Strukturen (ITShopOrg)

Standorte (Locality)

Geschäftsrollen (Org)

Kostenstellen (ProfitCenter)

IT Shop Vorlagen (ITShopSrc)

alle Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen; beispielsweise "Rollen und Organisationen: Zuweisungen Active Directory Gruppen" (BaseTreeHasADSGroup) oder "Standorte: Zuweisungen EBS Berechtigungen" (LocalityHasEBSResp)

 

Die Entscheidungsverfahren ermitteln zu jedem Attestierungsobjekt den Manager. Beim Entscheidungsverfahren "RE" wird der Verantwortliche der Systemrolle als Attestierer ermittelt, bei den Entscheidungsverfahren "RM" und "RR" der Manager der Rolle/IT Shop Struktur. Die Entscheidungsverfahren "DM", "LM", "MO" und "PM" ermitteln den Manager und stellvertretenden Leiter der Rolle, in der die zu attestierende Person Mitglied ist.

Verantwortliche der Attestierungsobjekte als Attestierer ermitteln

Verantwortliche der Attestierungsobjekte als Attestierer ermitteln

Wenn Sie Systemberechtigungen und die ihnen zugewiesenen Benutzerkonten attestieren wollen, nutzen Sie die Entscheidungsverfahren "ED", "EM", "EN", "EO" oder "SO".

Attestierungsobjekte sind Systemberechtigungen und die ihnen zugewiesenen Benutzerkonten sowie Systemrollen, denen Systemberechtigungen oder Systemrollen zugewiesen sind. Die Entscheidungsverfahren ermitteln die folgenden Attestierer:

  Basisobjekte der Attestierung Attestierer Verfügbar im Modul
ED Benutzerkonten: Zuweisungen an Systemberechtigungen (UNSAccountInUNSGroup) Abteilungsleiter (und dessen Stellvertreter) der Person, mit der das Benutzerkonto verbunden ist. Es gilt die primär zugewiesene Abteilung. Zielsystem Basismodul
EM Benutzerkonten: Zuweisungen an Systemberechtigungen (UNSAccountInUNSGroup) Manager der Person, mit der das Benutzerkonto verbunden ist. Zielsystem Basismodul
EN Benutzerkonten: Zuweisungen an Systemberechtigungen (UNSAccountInUNSGroup)

Systemberechtigungen (UNSGroup)

Zielsystemverantwortliche des Zielsystembereichs, zu dem die Systemberechtigung gehört. Zielsystem Basismodul
EO

Systemrollen: Zuweisungen (ESetHasEntitlement)

alle Zuweisungen von Benutzerkonten an Systemberechtigungen; beispielsweise "Benutzerkonten: Zuweisungen an Systemberechtigungen" (UNSAccountInUNSGroup) oder "SAP Benutzerkonten: Zuweisungen an Gruppen" (SAPUserInSAPGroup)

alle Zuweisungen von Systemberechtigungen oder Systemrollen an Rollen; beispielsweise "Rollen und Organisationen: Zuweisungen Active Directory Gruppen" (BaseTreeHasADSGroup) oder "Standorte: Zuweisungen EBS Berechtigungen" (LocalityHasEBSResp)

Produkteigner der Leistungsposition, die der Systemberechtigung oder der Systemrolle zugeordnet ist. Zielsystem Basismodul oder Systemrollenmodul
SO

Benutzerkonten: Zuweisungen an Systemberechtigungen (UNSAccountInUNSGroup)

Benutzerkonten (UNSAccount)

Systemberechtigungen: Zuweisungen an Systemberechtigungen (UNSGroupInUNSGroup)

Zielsystemverantwortliche des Zielsystembereichs, zu dem die Systemberechtigung oder das Benutzerkonto gehört. Zielsystem Basismodul

Attestierer über eine festgelegte Rolle ermitteln

Attestierer über eine festgelegte Rolle ermitteln

Wenn die Attestierer für beliebige Objekte in einer bestimmten Rolle festgelegt sind, nutzen Sie die Entscheidungsverfahren "OR" oder "OM". Mit diesen Entscheidungsverfahren können Sie beliebige Objekte durch Personen einer beliebigen Rolle attestieren lassen. Im Entscheidungsschritt legen Sie die Rolle fest, über die die Attestierer ermittelt werden sollen. Die Entscheidungsverfahren ermitteln folgende Attestierer.

  Auswählbare Rollen Attestierer
OM

Abteilungen (Department)

Kostenstellen (ProfitCenter)

Standorte (Locality)

Geschäftsrollen (Org)

Manager und Stellvertreter der am Entscheidungsschritt festgelegten Rolle
OR

Abteilungen (Department)

Kostenstellen (ProfitCenter)

Standorte (Locality)

Geschäftsrollen (Org)

Anwendungsrollen (AERole)

Alle sekundären Mitglieder der am Entscheidungsschritt festgelegten Rolle
Related Documents