Konfigurationsparameter | Bedeutung |
---|---|
Angabe der Exchange Web Service URL. Ist diese nicht spezifiziert, wird der AutoDiscover-Modus zur Erkennung der URL verwendet. |
Der Zeitplan "Verarbeiten der Genehmigungen
|
Hinweis: Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der One Identity Manager Service läuft, diesem Rootzertifikat vertrauen. |
|
TIPP: Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover-Dienst läuft. Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter " |
|
Hinweis: Wenn Sie eine unternehmensspezifische Mailvorlage für die |
Konfigurationsparameter | Wirkung bei Aktivierung |
---|---|
QER\Attestation\AutoRemovalScope | Allgemeiner Konfigurationsparameter zur Definition des automatischen Entzugs von Berechtigungen nach einer negativen Entscheidung im Rahmen einer Attestierung. |
Der One Identity Manager stellt für verschiedene Datensituationen Standard-Attestierungsverfahren und Standard-Attestierungsrichtlinien bereit.
Datensituationen für Standardattestierungen
Für die Attestierung von Personenstammdaten werden die erforderlichen Attestierungsrichtlinien standardmäßig bereitgestellt. Sie können diese Attestierungsrichtlinien ohne weitere Anpassungen nutzen. Voraussetzungen und Ablauf der Attestierung von Personenstammdaten ist im Abschnitt Attestierung und Rezertifizierung von Benutzern beschrieben.
Mit den Standard-Attestierungsverfahren für die übrigen Datensituationen können Sie auf einfachem Wege im Web Portal Attestierungsrichtlinien erstellen. Sie können auch die mitgelieferten Standard-Attestierungsrichtlinien ohne weitere Anpassungen nutzen. Darüber hinaus können Sie konfigurieren, wie mit abgelehnten Attestierungen weiter verfahren werden soll, die auf diesen Standard-Attestierungsverfahren basieren. Wenn es Ihre spezielle Datensituation zulässt, können abgelehnte Berechtigungen sofort im Anschluss an die Attestierung durch den One Identity Manager entzogen werden.
Um abgelehnte Berechtigungen automatisch zu entziehen
|
Wichtig: Wenn einer Person Rollenmitgliedschaften oder Systemrollen entzogen werden, verliert sie dadurch die abgelehnte Berechtigung. Sie verliert aber auch alle anderen Unternehmensressourcen, die ihr über die Rolle vererbt wurden. Das können weitere Systemberechtigungen oder Kontendefinitionen sein. Gegebenenfalls werden ihr dadurch zulässige Systemberechtigungen entzogen oder Benutzerkonten gelöscht! Prüfen sie, ob Ihre Datensituation den automatischen Entzug von Berechtigungen zulässt, bevor Sie die Konfigurationsparameter unter "QER\Attestation\AutoRemovalScope" aktivieren! |
Der automatische Entzug von Berechtigungen wird durch einen zusätzlichen Entscheidungsschritt mit dem Entscheidungsverfahren "EX" in den Standard-Entscheidungsworkflows angestoßen.
Ablauf der Attestierung mit anschließendem Entzug abgelehnter Berechtigungen
Installierte Module: | Zielsystem Basismodul |
Konfigurationsparameter | Wirkung bei Aktivierung |
---|---|
QER\Attestation\AutoRemovalScope\GroupMembership | Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Unified Namespace Systemberechtigungen bei negativer Attestierung. |
QER\Attestation\AutoRemovalScope\UNSGroupInUNSGroup | Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Unified Namespace Systemberechtigungen an Systemberechtigungen bei negativer Attestierung. |
Wenn Sie die Standard-Attestierungsrichtline "Attestierung von Mitgliedschaften in Systemberechtigungen" nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren "Attestierung von Mitgliedschaften in Systemberechtigungen" erstellt haben, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter "QER\Attestation\AutoRemovalScope\GroupMembership" konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart das Benutzerkonto Mitglied in der Systemberechtigung wurde.
Konfigurationsparameter | |||
---|---|---|---|
Wirkung bei Aktivierung |
Hinweise | ||
QER\Attestation\AutoRemovalScope\GroupMembership\RemoveDirect | |||
Die direkte Mitgliedschaft des Benutzerkontos in der Systemberechtigung wird entfernt. |
|||
QER\Attestation\AutoRemovalScope\GroupMembership\RemovePrimaryRole | |||
Wurde die Mitgliedschaft in der Systemberechtigung über eine primäre Rolle vererbt, wird der Person diese Rolle entzogen. |
Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat! | ||
QER\Attestation\AutoRemovalScope\GroupMembership\RemoveRequestedRole | |||
Wurde die Mitgliedschaft in der Systemberechtigung über eine bestellte Rolle vererbt, wird diese Rolle abbestellt. |
Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat! | ||
QER\Attestation\AutoRemovalScope\GroupMembership\RemoveDelegatedRole | |||
Wurde die Mitgliedschaft in der Systemberechtigung über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle beendet. |
Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat! | ||
QER\Attestation\AutoRemovalScope\GroupMembership\RemoveRequested | |||
Wurde die Mitgliedschaft in der Systemberechtigung über den IT Shop bestellt, wird sie abbestellt. |
|||
QER\Attestation\AutoRemovalScope\GroupMembership\RemoveSystemRole | |||
Systemrollen, die die Systemberechtigung enthalten, werden der Person entzogen. |
Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Systemrolle erhalten hat!
| ||
QER\Attestation\AutoRemovalScope\GroupMembership\RemoveDirectRole | |||
Die Zuweisung der Systemberechtigung an hierarchische Rollen wird entfernt. |
Damit wird die Zuweisung der Systemberechtigung zu allen Benutzerkonten entfernt, deren verbundene Personen Mitglied dieser Rollen sind.
|
Wenn Sie die Standard-Attestierungsrichtline "Attestierung von Zuweisungen zu Systemberechtigungen" nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren "Attestierung der Zuweisung von Systemberechtigungen an Systemberechtigungen" erstellt haben, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter "QER\Attestation\AutoRemovalScope\UNSGroupInUNSGroup" konfigurieren.
Konfigurationsparameter | Wirkung bei Aktivierung |
---|---|
QER\Attestation\AutoRemovalScope\UNSGroupInUNSGroup\RemoveDirect | Die Zuweisung der Systemberechtigung an eine Systemberechtigung wird entfernt. |
Installierte Module: | Systemrollenmodul |
Konfigurationsparameter | Wirkung bei Aktivierung |
---|---|
QER\Attestation\AutoRemovalScope\ESetAssignment | Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Systemrollen bei negativer Attestierung. |
Wenn Sie die Standard-Attestierungsrichtline "Attestierung von Mitgliedschaften in Systemrollen" nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren "Attestierung von Mitgliedschaften in Systemrollen" erstellt haben, können Sie den automatischen Entzug der Systemrollen über den Konfigurationsparameter "QER\Attestation\AutoRemovalScope\ESetAssignment" konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person die Systemrolle erhalten hat.
Konfigurationsparameter | |||
---|---|---|---|
Wirkung bei Aktivierung |
Hinweise | ||
QER\Attestation\AutoRemovalScope\ESetAssignment\RemoveDirect | |||
Die direkte Mitgliedschaft in der Systemrolle wird entfernt. |
Damit werden alle indirekten Zuweisungen entfernt, die die Person über die Systemrolle erhalten hat! | ||
QER\Attestation\AutoRemovalScope\ESetAssignment\RemovePrimaryRole | |||
Wurde die Systemrolle über eine primäre Rolle vererbt, wird der Person diese Rolle entzogen. |
Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat! | ||
QER\Attestation\AutoRemovalScope\ESetAssignment\RemoveRequestedRole | |||
Wurde die Systemrolle über eine bestellte Rolle vererbt, wird diese Rolle abbestellt. |
Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat! | ||
QER\Attestation\AutoRemovalScope\ESetAssignment\RemoveDelegatedRole | |||
Wurde die Systemrolle über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle beendet. |
Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat! | ||
QER\Attestation\AutoRemovalScope\ESetAssignment\RemoveRequested | |||
Wurde die Systemrolle über den IT Shop bestellt, wird sie abbestellt. |
Damit werden alle indirekten Zuweisungen entfernt, die die Person über die Systemrolle erhalten hat! | ||
QER\Attestation\AutoRemovalScope\ESetAssignment\RemoveDirectRole | |||
Die Zuweisung der Systemrolle an hierarchische Rollen wird entfernt. |
Damit wird die Zuweisung der Systemrolle zu allen Personen entfernt, die Mitglied dieser Rollen sind.
|
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy