Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Verarbeitung einer Attestierungsmail

Tabelle 65: Konfigurationsparameter für die Entscheidung per E-Mail
Konfigurationsparameter Bedeutung
QER\Attestation\MailApproval\ExchangeURI Angabe der Exchange Web Service URL. Ist diese nicht spezifiziert, wird der AutoDiscover-Modus zur Erkennung der URL verwendet.

Der Zeitplan "Verarbeiten der Genehmigungen von Attestierungen per E-Mail" startet den Prozess VI_Attestation_Process Approval Inbox. Dieser Prozess führt das Skript VI_MailApproval_ProcessInBox aus, welches das Postfach nach neuen Attestierungsmails durchsucht und die Attestierungsvorgänge in der One Identity Manager Datenbank aktualisiert. Danach wird der Inhalt der Attestierungsmail verarbeitet.

Hinweis: Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Attestierungen per E-Mail verwendet wird!

Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der One Identity Manager Service läuft, diesem Rootzertifikat vertrauen.

TIPP: Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover-Dienst läuft.

Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter "QER\Attestation\MailApproval\ExchangeURI" an.

Attestierungsmails werden durch das Skript VI_MailApproval_ProcessMail verarbeitet. Das Skript ermittelt die getroffene Entscheidung, setzt die Option Genehmigt und hinterlegt die Begründung für die Entscheidung an den Attestierungsvorgängen. Über die Absenderadresse wird der Attestierer ermittelt. Danach wird die Attestierungsmail abhängig vom gewählten Aufräumverfahren aus dem Postfach entfernt.

Hinweis: Wenn Sie eine unternehmensspezifische Mailvorlage für die Attestierungsmail nutzen, prüfen Sie das Skript und passen Sie es gegebenenfalls an. Beachten Sie dabei, dass dieses Skript auch für Attestierungen per E-Mail verwendet wird!

Standardattestierungen und der Entzug von Berechtigungen

Standardattestierungen und der Entzug von Berechtigungen

Tabelle 66: Konfigurationsparameter für den Entzug von Berechtigungen
Konfigurationsparameter Wirkung bei Aktivierung
QER\Attestation\AutoRemovalScope Allgemeiner Konfigurationsparameter zur Definition des automatischen Entzugs von Berechtigungen nach einer negativen Entscheidung im Rahmen einer Attestierung.

Der One Identity Manager stellt für verschiedene Datensituationen Standard-Attestierungsverfahren und Standard-Attestierungsrichtlinien bereit.

Datensituationen für Standardattestierungen

  • Systemberechtigungen, die eine Person besitzt
  • Systemberechtigungen, die an Systemberechtigungen zugewiesen sind
  • Mitgliedschaften in Geschäftsrollen und Anwendungsrollen
  • Systemrollen, die einer Person zugewiesen sind
  • Personenstammdaten eines neuen One Identity Manager Benutzers
  • Personenstammdaten vorhandener One Identity Manager Benutzer

Für die Attestierung von Personenstammdaten werden die erforderlichen Attestierungsrichtlinien standardmäßig bereitgestellt. Sie können diese Attestierungsrichtlinien ohne weitere Anpassungen nutzen. Voraussetzungen und Ablauf der Attestierung von Personenstammdaten ist im Abschnitt Attestierung und Rezertifizierung von Benutzern beschrieben.

Mit den Standard-Attestierungsverfahren für die übrigen Datensituationen können Sie auf einfachem Wege im Web Portal Attestierungsrichtlinien erstellen. Sie können auch die mitgelieferten Standard-Attestierungsrichtlinien ohne weitere Anpassungen nutzen. Darüber hinaus können Sie konfigurieren, wie mit abgelehnten Attestierungen weiter verfahren werden soll, die auf diesen Standard-Attestierungsverfahren basieren. Wenn es Ihre spezielle Datensituation zulässt, können abgelehnte Berechtigungen sofort im Anschluss an die Attestierung durch den One Identity Manager entzogen werden.

Um abgelehnte Berechtigungen automatisch zu entziehen

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\AutoRemovalScope".

Wichtig: Wenn einer Person Rollenmitgliedschaften oder Systemrollen entzogen werden, verliert sie dadurch die abgelehnte Berechtigung. Sie verliert aber auch alle anderen Unternehmensressourcen, die ihr über die Rolle vererbt wurden. Das können weitere Systemberechtigungen oder Kontendefinitionen sein. Gegebenenfalls werden ihr dadurch zulässige Systemberechtigungen entzogen oder Benutzerkonten gelöscht!

Prüfen sie, ob Ihre Datensituation den automatischen Entzug von Berechtigungen zulässt, bevor Sie die Konfigurationsparameter unter "QER\Attestation\AutoRemovalScope" aktivieren!

Der automatische Entzug von Berechtigungen wird durch einen zusätzlichen Entscheidungsschritt mit dem Entscheidungsverfahren "EX" in den Standard-Entscheidungsworkflows angestoßen.

Ablauf der Attestierung mit anschließendem Entzug abgelehnter Berechtigungen

  1. Eine Attestierung mit einem der folgenden Attestierungsverfahren wird durchgeführt.
    • Attestierung von Mitgliedschaften in Systemberechtigungen
    • Attestierung der Zuweisung von Systemberechtigungen an Systemberechtigungen
    • Attestierung von Mitgliedschaften in Systemrollen
    • Attestierung von Mitgliedschaften in Anwendungsrollen
    • Attestierung von Mitgliedschaften in Geschäftsrollen
  2. Der Attestierer lehnt die Attestierung ab. Der Entscheidungsschritt wird negativ entschieden und die Entscheidung an die nächste Entscheidungsebene mit dem Entscheidungsverfahren "EX" übergeben.
  3. Der Entscheidungsschritt löst das Ereignis AUTOREMOVE aus. Dadurch wird der Prozess VI_Attestation_AttestationCase_AutoRemoveMemberships ausgeführt.
  4. Der Prozess führt das Skript VI_AttestationCase_RemoveMembership aus. Dieses entfernt die betroffene Berechtigung abhängig von den aktivierten Konfigurationsparametern.
  5. Das Skript setzt den Status des Entscheidungsschritts auf "abgelehnt". Dadurch wird der gesamte Attestierungsvorgang endgültig abgelehnt.
  6. Aufträge zur Neuberechnung der Vererbung werden in die DBQueue eingestellt.
Detaillierte Informationen zum Thema

Attestierung von Systemberechtigungen

Attestierung von Systemberechtigungen

Installierte Module: Zielsystem Basismodul
Tabelle 67: Konfigurationsparameter für den Entzug von Systemberechtigungen
Konfigurationsparameter Wirkung bei Aktivierung
QER\Attestation\AutoRemovalScope\GroupMembership Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Unified Namespace Systemberechtigungen bei negativer Attestierung.
QER\Attestation\AutoRemovalScope\UNSGroupInUNSGroup Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Unified Namespace Systemberechtigungen an Systemberechtigungen bei negativer Attestierung.

Wenn Sie die Standard-Attestierungsrichtline "Attestierung von Mitgliedschaften in Systemberechtigungen" nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren "Attestierung von Mitgliedschaften in Systemberechtigungen" erstellt haben, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter "QER\Attestation\AutoRemovalScope\GroupMembership" konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart das Benutzerkonto Mitglied in der Systemberechtigung wurde.

Tabelle 68: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung
Konfigurationsparameter

Wirkung bei Aktivierung

 Hinweise
QER\Attestation\AutoRemovalScope\GroupMembership\RemoveDirect

Die direkte Mitgliedschaft des Benutzerkontos in der Systemberechtigung wird entfernt.

  
QER\Attestation\AutoRemovalScope\GroupMembership\RemovePrimaryRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine primäre Rolle vererbt, wird der Person diese Rolle entzogen.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\GroupMembership\RemoveRequestedRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine bestellte Rolle vererbt, wird diese Rolle abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\GroupMembership\RemoveDelegatedRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle beendet.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\GroupMembership\RemoveRequested

Wurde die Mitgliedschaft in der Systemberechtigung über den IT Shop bestellt, wird sie abbestellt.

  
QER\Attestation\AutoRemovalScope\GroupMembership\RemoveSystemRole

Systemrollen, die die Systemberechtigung enthalten, werden der Person entzogen.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Systemrolle erhalten hat!

 Hinweis: Dieser Konfigurationsparameter ist nur verfügbar, wenn das Systemrollenmodul installiert ist.
QER\Attestation\AutoRemovalScope\GroupMembership\RemoveDirectRole

Die Zuweisung der Systemberechtigung an hierarchische Rollen wird entfernt.

Damit wird die Zuweisung der Systemberechtigung zu allen Benutzerkonten entfernt, deren verbundene Personen Mitglied dieser Rollen sind.

Wichtig: Dadurch können auch Benutzerkonten die Systemberechtigung verlieren, deren Attestierung genehmigt wurde!

Prüfen Sie die Nebenwirkungen dieses Konfigurationsparameters in Ihrer Datensituation, bevor Sie ihn aktivieren.

Wenn Sie die Standard-Attestierungsrichtline "Attestierung von Zuweisungen zu Systemberechtigungen" nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren "Attestierung der Zuweisung von Systemberechtigungen an Systemberechtigungen" erstellt haben, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter "QER\Attestation\AutoRemovalScope\UNSGroupInUNSGroup" konfigurieren.

Tabelle 69: Wirkung des Konfigurationsparameters bei abgelehnter Attestierung
Konfigurationsparameter Wirkung bei Aktivierung
QER\Attestation\AutoRemovalScope\UNSGroupInUNSGroup\RemoveDirect Die Zuweisung der Systemberechtigung an eine Systemberechtigung wird entfernt.

Attestierung von Systemrollen

Attestierung von Systemrollen

Installierte Module: Systemrollenmodul
Tabelle 70: Konfigurationsparameter für den Entzug von Systemrollen
Konfigurationsparameter Wirkung bei Aktivierung
QER\Attestation\AutoRemovalScope\ESetAssignment Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Systemrollen bei negativer Attestierung.

Wenn Sie die Standard-Attestierungsrichtline "Attestierung von Mitgliedschaften in Systemrollen" nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren "Attestierung von Mitgliedschaften in Systemrollen" erstellt haben, können Sie den automatischen Entzug der Systemrollen über den Konfigurationsparameter "QER\Attestation\AutoRemovalScope\ESetAssignment" konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person die Systemrolle erhalten hat.

Tabelle 71: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung
Konfigurationsparameter

Wirkung bei Aktivierung

 Hinweise
QER\Attestation\AutoRemovalScope\ESetAssignment\RemoveDirect

Die direkte Mitgliedschaft in der Systemrolle wird entfernt.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über die Systemrolle erhalten hat!

QER\Attestation\AutoRemovalScope\ESetAssignment\RemovePrimaryRole

Wurde die Systemrolle über eine primäre Rolle vererbt, wird der Person diese Rolle entzogen.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\ESetAssignment\RemoveRequestedRole

Wurde die Systemrolle über eine bestellte Rolle vererbt, wird diese Rolle abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\ESetAssignment\RemoveDelegatedRole

Wurde die Systemrolle über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle beendet.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\ESetAssignment\RemoveRequested

Wurde die Systemrolle über den IT Shop bestellt, wird sie abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über die Systemrolle erhalten hat!

QER\Attestation\AutoRemovalScope\ESetAssignment\RemoveDirectRole

Die Zuweisung der Systemrolle an hierarchische Rollen wird entfernt.

Damit wird die Zuweisung der Systemrolle zu allen Personen entfernt, die Mitglied dieser Rollen sind.

Wichtig: Dadurch können auch Personen die Systemrolle verlieren, deren Attestierung genehmigt wurde!

Prüfen Sie die Nebenwirkungen dieses Konfigurationsparameters in Ihrer Datensituation, bevor Sie ihn aktivieren.

Related Documents