Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Attestierung durch die zu attestierende Person verhindern

Attestierung durch die zu attestierende Person verhindern

Tabelle 36: Konfigurationsparameter für Attestierungen durch die zu attestierende Person
Konfigurationsparameter Bedeutung
QER\Attestation\PersonToAttestNoDecide

Der Konfigurationsparameter legt fest, ob Personen, die attestiert werden, diesen Attestierungsvorgang entscheiden dürfen. Ist der Parameter aktiviert, darf ein Attestierungsvorgang nicht von den Personen entschieden werden, die im Attestierungsobjekt (AttestationCase.ObjectKeyBase) oder in den Objektbeziehungen 1-3 (AttestationCase.UID_ObjectKey1, ObjectKey2 oder ObjectKey3) enthalten sind. Ist der Parameter nicht aktiviert, dürfen diese Personen über diesen Attestierungsvorgang entscheiden.

In einem Attestierungsvorgang kann das Attestierungsobjekt gleichzeitig als Attestierer ermittelt werden. Damit können die zu attestierenden Personen sich selbst attestieren. Um das zu verhindern, aktivieren Sie den Konfigurationsparameter "QER\Attestation\PersonToAttestNoDecide".

Hinweis:

  • Eine Änderung des Konfigurationsparameters wirkt nur auf neu zu erstellende Attestierungsvorgänge. Für bereits bestehende Attestierungsvorgänge werden die Attestierer nicht neu berechnet.
  • Die Einstellung des Konfigurationsparameters gilt auch für Fallback-Entscheider; sie gilt nicht für die zentrale Entscheidergruppe.
  • Wenn am Entscheidungsschritt die Option "Entscheidung durch betroffene Person" aktiviert ist, hat der Konfigurationsparameter keine Wirkung.

Um zu verhindern, dass eine Person sich selbst attestieren darf

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\PersonToAttestNoDecide".

Der Konfigurationsparameter wirkt auf alle Attestierungsvorgänge, in denen Personen, die im Attestierungsobjekt oder in den Objektbeziehungen enthalten sind, gleichzeitig als Attestierer ermittelt werden. Folgende Personen werden aus dem Kreis der Attestierer entfernt:

  • Personen, die in AttestationCase.ObjectKeyBase enthalten sind
  • Personen, die in AttestationCase.UID_ObjectKey1, ObjectKey2 oder ObjectKey3 enthalten sind
  • die Hauptidentitäten dieser Personen
  • alle Subidentitäten dieser Hauptidentitäten

Ist der Konfigurationsparameter nicht aktiviert oder ist am Entscheidungsschritt die Option "Entscheidung durch betroffene Person" aktiviert, dürfen diese Personen sich selbst attestieren.

Verwandte Themen

Eigenschaften eines Entscheidungsschritts

Attestierungsvorgang steuern

Im Verlauf der Attestierung kann es notwendig sein, einen anderen als den standardmäßig verantwortlichen Attestierer mit der Attestierung zu beauftragen, beispielsweise weil ein verantwortlicher Attestierer abwesend ist. Möglicherweise werden zusätzliche Informationen über ein Attestierungsobjekt benötigt. Der One Identity Manager bietet verschiedene Möglichkeiten in einen offenen Attestierungsvorgang einzugreifen.

Weitere Informationen einholen

Weitere Informationen einholen

Ein Attestierer hat die Möglichkeit weitere Informationen zu einem Attestierungsvorgang einzuholen. Diese Nachfragemöglichkeit ersetzt jedoch nicht die Genehmigung oder Ablehnung eines Attestierungsvorgangs. Zur Informationseinholung ist kein zusätzlicher Entscheidungsschritt in einem Entscheidungsworkflow erforderlich.

Der Attestierer kann eine Anfrage an jede beliebige Person stellen. Der Attestierungsvorgang erhält für den Zeitpunkt der Anfrage einen Hold-Status. Sobald die angefragte Person die benötigten Informationen geliefert hat und der Attestierer den Attestierungsvorgang entschieden hat, wird der Hold-Status wieder aufgehoben. Der Attestierer kann eine offene Anfrage jederzeit zurückrufen. Der Hold-Status wird dadurch aufgehoben. Die Anfrage und die Antwort werden im Entscheidungsverlauf aufgezeichnet und stehen somit den Attestierern zur Verfügung.

Hinweis: Wenn der Attestierer, der eine Anfrage gestellt hat, als Entscheider entfällt, wird der Hold-Status aufgehoben. Die angefragte Person muss nicht mehr antworten. Der Attestierungsvorgang wird fortgesetzt.

Über offene Anfragen können E-Mail Benachrichtigungen an die beteiligten Personen versendet werden.

Detaillierte Informationen zum Thema

Andere Attestierer beauftragen

Andere Attestierer beauftragen

Sobald eine Entscheidungsebene im Entscheidungsverlauf erreicht ist, können die Attestierer dieser Entscheidungsebene eine andere Person mit der Entscheidung beauftragen. Dafür stehen folgende Möglichkeiten zur Verfügung. Das gewünschte Verhalten wird am Entscheidungsworkflow konfiguriert.

  • Entscheidung umleiten

    Der Attestierer beauftragt eine andere Entscheidungsebene mit der Attestierung. Erstellen Sie dafür eine Verbindung zu der Entscheidungsebene, an die eine Entscheidung umgeleitet werden kann.

  • Zusätzlichen Attestierer beauftragen

    Der Attestierer beauftragt eine weitere Person mit der Attestierung. Dabei wird ein zusätzlicher Entscheidungsschritt zur aktuellen Entscheidungsebene hinzugefügt. Der weitere Attestierer muss zusätzlich zu den bereits ermittelten Attestierern entscheiden.

    Der zusätzliche Attestierer kann die Entscheidung verweigern und den Attestierungsvorgang an den ursprünglichen Attestierer zurückgeben. Der ursprüngliche Attestierer wird darüber per E-Mail informiert. Der ursprüngliche Attestierer kann einen anderen zusätzlichen Attestierer beauftragen.

  • Entscheidung delegieren

    Der Attestierer beauftragt eine andere Person mit der Attestierung. Diese Person wird als Attestierer in den aktuellen Entscheidungsschritt aufgenommen. Sie entscheidet anstelle des delegierenden Attestierers.

    Der aktuelle Attestierer kann die Entscheidung verweigern und den Attestierungsvorgang an den ursprünglichen Attestierer zurückgeben. Der ursprüngliche Attestierer kann eine Delegierung zurücknehmen und an eine andere Person delegieren, beispielsweise wenn der andere Attestierer nicht verfügbar ist.

Es können E-Mail Benachrichtigungen an die anderen und die ursprünglichen Attestierer versendet werden.

Detaillierte Informationen zum Thema
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating