Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Produkteigner als Attestierer ermitteln

Wenn Leistungspositionen oder Systemberechtigungen attestiert werden sollen, können deren Produkteigner als Attestierer ermittelt werden. Nutzen Sie dafür das Entscheidungsverfahren "OA". Es können damit beliebige Leistungspositionen und Systemberechtigungen attestiert werden, denen eine Leistungsposition zugeordnet ist.

Ordnen Sie der Leistungsposition im Eingabefeld Produkteigner eine Anwendungsrolle zu. Es werden alle Personen als Attestierer ermittelt, die der angegebenen Anwendungsrolle zugewiesen sind.

Errechnete Entscheidung

Errechnete Entscheidung

Hinweis: Pro Entscheidungsebene kann nur ein Entscheidungsschritt mit dem Entscheidungsverfahren "CD" definiert werden.

Wenn Sie den Verlauf einer Attestierung von bestimmten Bedingungen abhängig machen wollen, nutzen Sie das Entscheidungsverfahren "CD". Dieses Verfahren ermittelt keine Attestierer. Der One Identity Manager trifft die Entscheidung abhängig von der Bedingung, die im Entscheidungsschritt formuliert ist.

Das Verfahren können Sie für beliebige Basisobjekte der Attestierung anwenden. Im Entscheidungsschritt erstellen Sie eine Bedingung. Liefert die Bedingung ein Ergebnis, wird der Entscheidungsschritt durch den One Identity Manager genehmigt. Liefert die Bedingung kein Ergebnis, wird der Entscheidungsschritt durch den One Identity Manager abgelehnt. Folgen darauf keine weiteren Entscheidungsschritte wird der Attestierungsvorgang endgültig genehmigt oder abgelehnt.

Um eine Bedingung für das Entscheidungsverfahren "CD" zu erfassen

  1. Bearbeiten Sie die Eigenschaften des Entscheidungsschritts.

    Weitere Informationen finden Sie unter Entscheidungsebenen bearbeiten.

  2. Erfassen Sie im Eingabefeld Bedingung oder Bedingung (Oracle) eine gültige Where-Klausel für Datenbankabfragen. Sie können diese direkt als SQL-Abfrage eingeben oder über einen Assistenten zusammenstellen. Auf den konkreten Attestierungsvorgang nehmen Sie in der Bedingung über die Variable @UID_AttestationCase (SQL) beziehungsweise v_uid_attestationcase (Oracle) Bezug.
Beispiel für einen einfachen Entscheidungsworkflow mit Entscheidungsverfahren "CD"

Complianceregeln sollen attestiert werden, wenn sie folgende Bedingungen erfüllen:

  1. Complianceregel ist aktiv:
  2. Der Complianceregel ist ein Regelverantwortlicher zugeordnet.

Mit dem Entscheidungsverfahren "CD" und der folgenden Bedingung ermitteln Sie die Objekte, die diese Bedingung erfüllen.

EXISTS

(SELECT 1 FROM (SELECT xobjectkey FROM ComplianceRule

WHERE isnull(IsWorkingCopy, 0) = 0 AND EXISTS

(SELECT 1 FROM (SELECT UID_AERole FROM AERole WHERE 1 = 1)

as X WHERE X.UID_AERole = ComplianceRule.UID_OrgResponsible))

as X WHERE X.xobjectkey = AttestationCase.ObjectKeyBase)

Ist die Bedingung erfüllt, sollen die Attestierer der Regel diese Complianceregel attestieren. Dafür ergänzen Sie im positiven Entscheidungspfad einen Entscheidungsschritt mit dem Entscheidungsverfahren "AR".

Ist die Bedingung nicht erfüllt, soll die Attestierung durch den One Identity Manager abgelehnt werden. Dafür sind keine weiteren Entscheidungsschritte notwendig.

Extern vorzunehmende Entscheidung

Extern vorzunehmende Entscheidung

Wenn die Attestierung ausgeführt werden soll, sobald ein definiertes Ereignis außerhalb des One Identity Manager eintritt, nutzen Sie die extern vorzunehmende Entscheidung (Entscheidungsverfahren "EX"). Sie können dieses Verfahren auch nutzen, um beliebige Objekte durch Personen attestieren zu lassen, die keinen Zugriff auf den One Identity Manager haben.

Im Entscheidungsschritt legen Sie ein Ereignis fest, das eine externe Entscheidung auslöst. Durch das Ereignis wird ein Prozess angestoßen, der die externe Entscheidung für den Attestierungsvorgang initiiert und das Ergebnis der Entscheidung auswertet. Das Genehmigungsverfahren wartet, bis das Ergebnis der externen Entscheidung an den One Identity Manager übermittelt wird. Abhängig von dieser Entscheidung definieren Sie weitere Entscheidungsschritte.

Um das Entscheidungsverfahren nutzen zu können

  1. Definieren Sie eigene Prozesse, die
    • eine externe Entscheidung auslösen,
    • die Ergebnisse der externen Entscheidung auswerten und
    • die daraufhin den externen Entscheidungsschritt im One Identity Manager positiv oder negativ entscheiden.
  2. Definieren Sie ein Ereignis, das den Prozess für die externe Entscheidung startet. Erfassen Sie das Ereignis im Entscheidungsschritt im Eingabefeld Ereignis.

Ist das externe Ereignis eingetreten, muss der Status des Entscheidungsschrittes im One Identity Manager geändert werden. Nutzen Sie dafür die Prozessfunktion CallMethod mit der Methode MakeDecision. Übergeben Sie der Prozessfunktion folgende Parameter:

MethodName: Value = "MakeDecision"

ObjectType: Value = "AttestationCase"

Param1: Value = "sa"

Param2: Value = <Entscheidung> ("true" = zugestimmt; "false" = abgelehnt)

Param3: Value = <Begründung der Entscheidung>

Param4: Value = <Standardbegründung>

Param5: Value = <Nummer des Entscheidungsschritts> (PWODecisionStep.SubLevelNumber)

WhereClause: Value = "UID_AttestationCase ='"& $UID_AttestationCase$ &"'"

Durch die Parameter legen Sie fest, welcher Attestierungsvorgang durch die externe Entscheidung entschieden werden soll (WhereClause). Der Parameter Param1 legt den Attestierer fest. Attestierer ist immer der Systembenutzer "sa". Mit dem Parameter Param2 wird die Entscheidung übergeben. Wurde der Attestierung zugestimmt, muss der Wert "true" übergeben werden. Wurde die Attestierung abgelehnt, muss der Wert "false" übergeben werden. Über den Parameter Param3 übergeben Sie einen Begründungstext für die Entscheidung; über den Parameter Param4 können Sie eine vorformulierte Standardbegründung übergeben. Wenn in einer Entscheidungsebene mehrere externe Entscheidungsschritte definiert wurden, übergeben Sie im Parameter Param5 die Nummer des Entscheidungsschritts. Damit kann die Entscheidung dem korrekten Entscheidungsschritt zugeordnet werden.

Prozesse definieren und bearbeiten Sie mit dem Prozesseditor.

Beispiel

Alle Complianceregeln sollen durch einen externen Gutachter geprüft und attestiert werden. Die Informationen über die Attestierungsobjekte sollen als PDF-Bericht auf einem externen Share bereitgestellt werden. Das Ergebnis der Attestierung soll der externe Gutachter in einer Textdatei auf dem externen Share ablegen. Nutzen Sie das Entscheidungsverfahren für extern vorzunehmende Entscheidungen und definieren Sie:

  • einen Prozess "P1", der einen PDF-Report mit den Informationen über die Attestierungsobjekte und den Attestierungsvorgang auf einem externen Share ablegt
  • ein Ereignis "E1", das den Prozess "P1" auslöst

    Das Ereignis "E1" tragen Sie im Entscheidungsschritt im Eingabefeld Ereignis und im Prozess "P1" als auslösendes Ereignis für die externe Entscheidung ein.

  • einen Prozess "P2", der das externe Share auf neue Textdateien überprüft, den Inhalt der Textdatei auswertet und im One Identity Manager die Funktion CallMethod mit der Methode MakeDecision aufruft
  • ein Ereignis "E2", das den Prozess "P2" auslöst
  • einen Zeitplan, der regelmäßig das Ereignis "E2" auslöst

Ausführliche Informationen über die Erstellung von Prozessen und Zeitplänen finden Sie im One Identity Manager Konfigurationshandbuch.

Detaillierte Informationen zum Thema

Verzögerter Start einer Attestierung

Verzögerter Start einer Attestierung

Hinweis: Pro Entscheidungsebene kann nur ein Entscheidungsschritt mit dem Entscheidungsverfahren "WC" definiert werden.

Wenn Sie sicherstellen wollen, dass vor der Attestierung ein definierter Datenzustand im One Identity Manager eingetreten ist, nutzen Sie das Entscheidungsverfahren "WC". Durch eine Bedingung legen Sie fest, welche Voraussetzungen erfüllt sein müssen, damit eine Attestierung ausgeführt werden kann. Die Bedingung wird als Funktionsaufruf ausgewertet. Die Funktion muss als Parameter die UID des Attestierungsvorgangs (AttestationCase.UID_AttestationCase) akzeptieren. Über diese UID nehmen Sie auf die einzelnen Attestierungsobjekte Bezug. Sie muss drei Rückgabewerte als Integer-Werte definieren. Abhängig vom Rückgabewert der Funktion wird eine der folgenden Aktionen ausgeführt.

Tabelle 28: Rückgabewerte für verzögerte Entscheidungen
Rückgabewert Aktion

Rückgabewert > 0

Die Bedingung ist erfüllt. Die verzögerte Entscheidung ist erfolgreich abgeschlossen. Der nächste Entscheidungsschritt (für den Erfolgsfall) wird ausgeführt.

Rückgabewert = 0

Die Bedingung ist noch nicht erfüllt. Die Entscheidung wird zurückgestellt und beim nächsten Lauf des DBQueue Prozessors erneut geprüft.

Rückgabewert < 0

Die Bedingung ist nicht erfüllt. Die verzögerte Entscheidung ist erfolglos abgeschlossen. Der nächste Entscheidungsschritt (für den Fehlerfall) wird ausgeführt.

Um das Entscheidungsverfahren nutzen zu können

  1. Erstellen Sie eine Datenbankfunktion, die die Bedingung für die Attestierung prüft.
  2. Erstellen Sie einen Entscheidungsschritt mit dem Entscheidungsverfahren "WC". Erfassen Sie im Eingabefeld Bedingung den Funktionsaufruf.
    Tabelle 29: Syntax für den Funktionsaufruf
    SQL Server:

    dbo.<Funktionsname>

    Oracle Database:

    <Datenbankschema-Name>.<Funktionsname>

  3. Legen Sie einen Entscheidungsschritt für den Erfolgsfall fest. Verwenden Sie ein Entscheidungsverfahren, mit dem der One Identity Manager die Attestierer ermitteln kann.
  4. Legen Sie bei Bedarf einen Entscheidungsschritt für den Fehlerfall fest.
Related Documents