Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Einrichten der Multifaktor-Authentifizierung für Attestierungen

Einrichten der Multifaktor-Authentifizierung für Attestierungen

Tabelle 34: Konfigurationsparameter für die Multifaktor-Authentifizierung
Konfigurationsparameter Bedeutung
QER\Person\Defender Der Konfigurationsparameter legt fest, ob die Starling Two-Factor Authentication Integration unterstützt wird.

QER\Person\Defender\ApiEndpoint

Der Konfigurationsparameter enthält die URL des Starling 2FA API Endpunktes, über den neue Benutzer registriert werden.

QER\Person\Defender\ApiKey Der Konfigurationsparameter enthält den Abonnementschlüssel Ihres Unternehmens zum Zugriff auf die Starling Two-Factor Authentication Schnittstelle.

Für bestimmte sicherheitskritische Attestierungen kann eine zusätzliche Authentifizierung eingerichtet werden. Dabei muss jeder Attestierer bei der Attestierung einen Sicherheitscode eingeben. Welche Attestierungsrichtlinien diese Authentifizierung benötigen, legen Sie an der Attestierungsrichtlinien fest. Für die Multifaktor-Authentifizierung nutzt der One Identity Manager One Identity Starling Two-Factor Authentication.

Um die Multifaktor-Authentifizierung nutzen zu können

  1. Registrieren Sie Ihr Unternehmen bei Starling Two-Factor Authentication.

    Ausführliche Informationen entnehmen Sie der Starling Two-Factor Authentication Dokumentation.

  2. Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\Defender".
    • Aktivieren Sie den Konfigurationsparameter "QER\Person\Defender\ApiKey" und erfassen Sie als Wert den Abonnementschlüssel Ihres Unternehmens zum Zugriff auf die Starling Two-Factor Authentication Schnittstelle.
  3. Aktivieren Sie für die Tabelle PersonHasQERResource die Zuweisung per Ereignis. Weitere Informationen finden Sie unter Tabelleneigenschaften bearbeiten.
  4. Aktivieren Sie im Manager die Leistungsposition "Neues Starling 2FA Token". Weitere Informationen finden Sie unter Bestellung des Starling 2FA Tokens vorbereiten.
  5. Aktivieren Sie im Manager an den Attestierungsrichtlinien, für welche die Multifaktor-Authentifizierung genutzt werden soll, die Option Entscheidung durch Multifaktor Authentifizierung. Weitere Informationen finden Sie unter Allgemeine Stammdaten einer Attestierungsrichtlinie.

    Für Standard-Attestierungsrichtlinien kann die Multifaktor-Authentifizierung nicht genutzt werden.

Wenn sich die Telefonnummer des Benutzers geändert hat, bestellen Sie den aktuellen Starling 2FA Token ab und bestellen Sie ihn erneut. Wenn der Starling 2FA Token nicht mehr benötigt wird, bestellen Sie ihn ebenfalls ab.

Sobald an einer Attestierungsrichtlinie die Option "Entscheidung durch Multifaktor Authentifizierung" aktiviert ist, wird in jedem Entscheidungsschritt des Genehmigungsverfahrens ein Sicherheitscode angefordert. Das heißt, jede Person, die als Attestierer für diese Attestierungsrichtlinie ermittelt wird, muss ein Starling 2FA Token besitzen.

Wichtig: Eine Attestierung per E-Mail ist nicht möglich, wenn für die Attestierungsrichtlinie die Multifaktor-Authentifizierung konfiguriert ist. Attestierungsmails für solche Attestierungen bewirken eine Fehlermeldung.
Verwandte Themen

Ausführliche Informationen

  • zur Bestellung des Starling 2FA Tokens,
  • zur Multifaktor-Authentifizierung bei Attestierungen,
  • zum Abbestellen von Produkten

finden Sie im One Identity Manager Anwenderhandbuch für das Web Portal.

Tabelleneigenschaften bearbeiten

Hinweis: Wenn die Option "Zuweisung per Ereignis" aktiviert ist, wird der Prozess "HandleObjectComponent" in die Jobqueue eingestellt, sobald eine Zuweisung einer Ressource an eine Person hinzugefügt oder entfernt wird.

Um die Zuweisung per Ereignis für eine Tabelle zu aktivieren

  1. Wählen Sie im Designer die Kategorie One Identity Manager Schema.
  2. Wählen Sie die Tabelle PersonHasQERResource und starten Sie den Schemaeditor über die Aufgabe Tabellendefinition anzeigen.
  3. Wählen Sie die Ansicht Tabelleneigenschaften | Tabelle und aktivieren Sie die Option Zuweisung per Ereignis.
  4. Speichern Sie die Änderungen.

Ausführliche Informationen zur Bearbeitung von Tabellendefinitionen finden Sie im One Identity Manager Konfigurationshandbuch.

Bestellung des Starling 2FA Tokens vorbereiten

Bestellung des Starling 2FA Tokens vorbereiten

Damit ein One Identity Manager Benutzer die Multifaktor-Authentifizierung nutzen kann, muss er bei Starling Two-Factor Authentication registriert sein. Um sich zu registrieren, bestellt der Benutzer im Web Portal das Starling 2FA Token. Sobald die Bestellung genehmigt ist, erhält er einen Link zur Starling Two-Factor Authentication App und eine Starling 2FA Benutzerkennung. Mit der App können die Sicherheitscodes generiert werden, die für die Authentifizierung benötigt werden. Die Starling 2FA Benutzerkennung wird in den Personenstammdaten des Benutzers gespeichert.

Hinweis: In den Personenstammdaten des Benutzers müssen Standard-E-Mail-Adresse, Mobiltelefon und Land hinterlegt sein. Diese Angaben werden für die Registrierung benötigt.

Um die Bestellung des Starling 2FA Tokens zu ermöglichen

  1. Wählen Sie die Kategorie IT Shop | Servicekatalog | Vordefiniert.
  2. Wählen Sie in der Ergebnisliste Neues Starling 2FA Token.
  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  4. Deaktivieren Sie Nicht bestellbar.
  5. Speichern Sie die Änderungen.

Die Bestellung des Starling 2FA Tokens muss durch den Manager des Empfängers der Bestellung genehmigt werden.

Sicherheitscode anfordern

Sicherheitscode anfordern

Tabelle 35: Konfigurationsparameter für die Anforderung des Starling 2FA Sicherheitscodes
Konfigurationsparameter Bedeutung

QER\Person\Defender\DisableForceParameter

Der Konfigurationsparameter legt fest, ob Starling 2FA gezwungen werden soll, den Sicherheitscode per SMS oder Telefonanruf zu senden, wenn für die Multifaktor-Authentifizierung eine dieser Optionen ausgewählt ist. Wenn der Konfigurationsparameter aktiviert ist, kann Starling 2FA diese Anforderung zurückweisen; der Benutzer muss dann den Sicherheitscode über die Starling 2FA App anfordern.

Wenn für eine Attestierung der Sicherheitscode angefordert wird, entscheidet der Benutzer, auf welchem Weg der Sicherheitscode zugestellt wird. Folgende Möglichkeiten können genutzt werden:

  • Über die Starling 2FA App
  • Per SMS
  • Per Telefonanruf

Standardmäßig wird Starling 2FA gezwungen den Sicherheitscode per SMS oder Telefonanruf zu senden, wenn der Benutzer eine dieser Optionen ausgewählt hat. Aus Sicherheitsgründen sollte der Benutzer jedoch die Starling 2FA App nutzen, um den Sicherheitscode zu generieren. Wenn die App auf dem Mobiltelefon des Benutzers installiert ist, kann Starling 2FA die Anforderung von SMS oder Telefonanruf zurückweisen. Der Benutzer muss dann den Sicherheitscode über die App generieren.

Um dieses Verhalten zu nutzen

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\Defender\DisableForceParameter".

    Starling 2FA kann die Übermittlung des Sicherheitscodes per SMS oder Telefonanruf zurückweisen, wenn auf dem Mobiltelefon die Starling 2FA App installiert ist. Der Sicherheitscode muss dann über die App generiert werden.

Wenn der Konfigurationsparameter deaktiviert ist (Standard), wird Starling 2FA gezwungen, den Sicherheitscode per SMS oder Telefonanruf zu senden.

Related Documents