Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Benachrichtigungen bei Anfragen

Benachrichtigungen bei Anfragen

Tabelle 59: Konfigurationsparameter für die Benachrichtigung von Entscheidern bei einer Anfrage

Konfigurationsparameter

Bedeutung

QER\Attestation\MailTemplateIdents\
QueryFromApprover

Mailvorlage, die genutzt wird, um eine Benachrichtigung mit der Frage eines Entscheiders an eine Person zu versenden.

QER\Attestation\MailTemplateIdents\
AnswerToApprover

Mailvorlage, die genutzt wird, um eine Benachrichtigung mit der Antwort auf seine Frage an einen Entscheider zu versenden.

Personen können benachrichtigt werden, wenn eine Anfrage zu einer Attestierung gestellt wurde. Ebenso können die Attestierer benachrichtigt werden, sobald die Anfrage beantwortet wurde.

Um eine Benachrichtigung zu versenden, wenn ein Attestierer eine Anfrage stellt

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\MailTemplateIdents\QueryFromApprover".

    Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage "Attestierung - Frage" versendet.

Um eine Benachrichtigung an den Attestierer zu versenden, wenn die angefragte Person auf eine Anfrage antwortet

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\MailTemplateIdents\AnswerToApprover".

    Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage "Attestierung - Antwort" versendet.

Hinweis: Um andere als die Standardmailvorlagen für diese Benachrichtigungen zu nutzen, ändern Sie die Werte der Konfigurationsparameter.

Benachrichtigungen von zusätzlichen Attestierern

Benachrichtigungen von zusätzlichen Attestierern

Tabelle 60: Konfigurationsparameter für die Benachrichtigung von Attestierern
Konfigurationsparameter Bedeutung
QER\Attestation\MailTemplateIdents\InformAddingPerson Mailvorlage, die genutzt wird, um eine Benachrichtigungsmail an einen Attestierer zu versenden, wenn der zusätzliche Attestierer den Schritt entschieden hat.
QER\Attestation\MailTemplateIdents\InformDelegatingPerson Mailvorlage, die genutzt wird, um eine Benachrichtigungsmail an einen Attestierer zu versenden, wenn sein delegierter Schritt entschieden wurde.

Der ursprüngliche Attestierer kann darüber benachrichtigt werden, dass ein zusätzlicher Attestierer oder eine Person, an die eine Attestierung delegiert wurde, die Attestierung genehmigt oder abgelehnt hat. Diese Benachrichtigung wird gesendet, sobald der Entscheidungsschritt entschieden wurde.

Um eine Benachrichtigung zu versenden, wenn der zusätzliche Attestierer die Attestierung genehmigt oder abgelehnt hat

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\MailTemplateIdents\InformAddingPerson".

    Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage "Attestierung - Zusätzlicher Entscheidungsschritt entschieden" versendet.

Um eine Benachrichtigung zu versenden, wenn die Person, an die eine Entscheidung delegiert wurde, die Bestellung genehmigt oder abgelehnt hat

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\MailTemplateIdents\InformDelegatingPerson".

    Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage "Attestierung - Delegierter Entscheidungsschritt entschieden" versendet.

Hinweis: Um andere als die Standardmailvorlagen für diese Benachrichtigungen zu nutzen, ändern Sie die Werte der Konfigurationsparameter.

Standard-Mailvorlagen

Standard-Mailvorlagen

Der One Identity Manager stellt standardmäßig Mailvorlagen bereit. Diese Mailvorlagen werden in den Sprachen Deutsch und Englisch bereitgestellt. Wenn Sie den Mailtext in anderen Sprachen benötigen, können Sie Maildefinitionen für diese Sprachen zu den Standard-Mailvorlagen hinzufügen.

Um Standard-Mailvorlagen zu bearbeiten

  • Wählen Sie die Kategorie Attestierung | Basisdaten zur Konfiguration | Mailvorlagen | Vordefiniert.
Verwandte Themen

Attestierung per E-Mail

Attestierung per E-Mail

Tabelle 61: Konfigurationsparameter für die Entscheidung per E-Mail
Konfigurationsparameter Bedeutung
QER\Attestation\MailApproval\Inbox Microsoft Exchange Postfach, welches für Prozesse der "Entscheidung per E-Mail" genutzt wird.
QER\Attestation\MailApproval\Account Name des Benutzerkontos zur Authentifizierung am "Entscheidung per E-Mail" Postfach.
QER\Attestation\MailApproval\Domain Domäne des Benutzerkontos zur Authentifizierung am "Entscheidung per E-Mail" Postfach.
QER\Attestation\MailApproval\Password Kennwort des Benutzerkontos zur Authentifizierung am "Entscheidung per E-Mail" Postfach.
QER\Attestation\MailTemplateIdents\ITShopApproval Mailvorlage, die genutzt wird, um Bestellungen durch "Entscheidung per E-Mail" zu entscheiden.
QER\Attestation\MailApproval\DeleteMode Gibt die Art und Weise an, wie E-Mails im Posteingang gelöscht werden sollen.

Um Attestierern, die zeitweilig keinen Zugang zu den One Identity Manager Werkzeugen haben, die Möglichkeit zu geben, Attestierungsvorgänge zu entscheiden, können Sie die Attestierung per E-Mail einrichten. Dabei erhalten die Attestierer eine E-Mail-Benachrichtigung, wenn für sie ein Attestierungsvorgang zur Entscheidung vorliegt. Über entsprechende Links in der E-Mail können die Attestierer die Entscheidung treffen, ohne sich mit dem Web Portal zu verbinden. Dabei wird eine E-Mail generiert, die die Entscheidung enthält und in der der Attestierer eine Begründung seiner Entscheidung erfassen soll. Diese E-Mail wird an ein zentrales Microsoft Exchange Postfach gesendet. Der One Identity Manager überprüft das Postfach regelmäßig, wertet die eingegangenen E-Mails aus und aktualisiert entsprechend den Status der Attestierungsvorgänge.

Wichtig: Eine Attestierung per E-Mail ist nicht möglich, wenn für die Attestierungsrichtlinie die Multifaktor-Authentifizierung konfiguriert ist. Attestierungsmails für solche Attestierungen bewirken eine Fehlermeldung.

Voraussetzungen

  1. Konfiguration der Microsoft Exchange Umgebung mit
    • Microsoft Exchange Client Access Server Version 2007, Service Pack 1 oder höher
    • Microsoft Exchange Web Service .NET API Version 1.2.1, 32 Bit
  2. Das Benutzerkonto, mit dem sich der One Identity Manager an der Microsoft Exchange Umgebung anmeldet, benötigt Vollzugriff auf das Postfach, das im Konfigurationsparameter "QER\Attestation\MailApproval\Inbox" angegeben ist.
  3. Der Konfigurationsparameter "QER\Attestation\MailTemplateIdents\RequestApproverByCollection" ist deaktiviert.

Um die Attestierung per E-Mail einzurichten

  1. Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\MailApproval\Inbox" und geben Sie das Postfach an, an das Entscheidungsmails gesendet werden sollen.
  2. Richten Sie den Zugriff auf das Postfach ein.
    1. Standardmäßig nutzt der One Identity Manager das Benutzerkonto des One Identity Manager Services, um sich am Microsoft Exchange Server anzumelden und auf das Postfach zuzugreifen.

      – ODER –

    2. Geben Sie ein separates Benutzerkonto für die Anmeldung am Microsoft Exchange Server zum Zugriff auf das Postfach an. Aktivieren Sie dafür die folgenden Konfigurationsparameter.
      Tabelle 62: Konfigurationsparameter für die Anmeldung am Microsoft Exchange Server
      Konfigurationsparameter Bedeutung
      QER\Attestation\MailApproval\Account Name des Benutzerkontos.
      QER\Attestation\MailApproval\Domain Domäne des Benutzerkontos.
      QER\Attestation\MailApproval\Password Kennwort des Benutzerkontos.
  3. Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\MailTemplateIdents\ITShopApproval".

    An diesem Konfigurationsparameter ist die Mailvorlage hinterlegt, die genutzt wird, um die Attestierungsmail zu erstellen. Sie können die Standardmailvorlage nutzen oder eine unternehmensspezifische Mailvorlage hinterlegen.

    TIPP: Um eine unternehmensspezifische Mailvorlage für Attestierungsmails zu nutzen, ändern Sie den Wert des Konfigurationsparameters. Passen Sie in diesem Fall auch das Skript VI_MailApproval_ProcessMail an.
  4. Ordnen Sie an den Entscheidungsschritten folgende Mailvorlagen zu.
    Tabelle 63: Mailvorlagen für die Entscheidung per E-Mail
    Eigenschaft Mailvorlage
    Mailvorlage Aufforderung Attestierung - Aufforderung zur Entscheidung (per E-Mail)
    Mailvorlage Erinnerung Attestierung - Erinnerung Entscheider (per E-Mail)
    Mailvorlage Delegierung Attestierung - Delegierte/zusätzliche Entscheidung (per E-Mail)
    Mailvorlage Zurückweisung Attestierung - Ablehnung Entscheidung (per E-Mail)
  5. Konfigurieren und aktivieren Sie im Designer den Zeitplan "Verarbeiten der Genehmigungen von Attestierungen per E-Mail".

    Entsprechend diesem Zeitplan überprüft der One Identity Manager regelmäßig das Postfach nach neuen Attestierungsmails. Standardmäßig wird das Postfach alle 15 Minuten überprüft. Sie können das Ausführungsintervall des Zeitplans entsprechend ihren Erfordernissen anpassen.

Um das Postfach aufzuräumen

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\MailApproval\DeleteMode" und wählen Sie einen der folgenden Werte.
    Tabelle 64: Aufräumen eines Postfachs
    Wert Verfahren
    HardDelete Die verarbeitete E-Mail wird sofort gelöscht.
    MoveToDeletedItems Die verarbeitete E-Mail wird in den Ordner "Gelöschte Objekte" des Postfachs verschoben.
    SoftDelete Die verarbeitete E-Mail wird in den Active Directory Papierkorb verschoben und kann bei Bedarf wiederhergestellt werden.

    Hinweis: Bei Einsatz der Aufräumverfahren MoveToDeletedItems oder SoftDelete sollten Sie den Ordner "Gelöschte Objekte" und den Active Directory Papierkorb in regelmäßigen Abständen leeren.
Verwandte Themen
Related Documents