Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Attestierung von Anwendungsrollen

Attestierung von Anwendungsrollen

Tabelle 72: Konfigurationsparameter für den Entzug von Anwendungsrollen
Konfigurationsparameter Wirkung bei Aktivierung
QER\Attestation\AutoRemovalScope\AERoleMembership Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Anwendungsrollen bei negativer Attestierung.

Wenn Sie die Standard-Attestierungsrichtline "Attestierung von Mitgliedschaften in Anwendungsrollen" nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren "Attestierung von Mitgliedschaften in Anwendungsrollen" erstellt haben, können Sie den automatischen Entzug der Anwendungsrollen über den Konfigurationsparameter "QER\Attestation\AutoRemovalScope\AERoleMembership" konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person Mitglied in der Anwendungsrolle wurde.

Tabelle 73: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung
Konfigurationsparameter

Wirkung bei Aktivierung

Hinweise
QER\Attestation\AutoRemovalScope\AERoleMembership\RemoveDirectRole

Die sekundäre Mitgliedschaft der Person in der Anwendungsrolle wird entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat!

Mitgliedschaften in dynamischen Rollen werden dadurch nicht entfernt!

QER\Attestation\AutoRemovalScope\AERoleMembership\RemoveRequestedRole

Hat die Person die Anwendungsrolle über den IT Shop bestellt, wird sie abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat!

QER\Attestation\AutoRemovalScope\AERoleMembership\RemoveDelegatedRole

Wurde die Anwendungsrolle an die Person delegiert, wird die Delegierung beendet.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Anwendungsrolle erhalten hat!

Attestierung von Geschäftsrollen

Attestierung von Geschäftsrollen

Installierte Module: Geschäftsrollenmodul
Tabelle 74: Konfigurationsparameter für den Entzug von Geschäftsrollen
Konfigurationsparameter Wirkung bei Aktivierung
QER\Attestation\AutoRemovalScope\RoleMembership Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Geschäftsrollen bei negativer Attestierung.

Wenn Sie die Standard-Attestierungsrichtline "Attestierung von Mitgliedschaften in Geschäftsrollen" nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren "Attestierung von Mitgliedschaften in Geschäftsrollen" erstellt haben, können Sie den automatischen Entzug der Geschäftsrollen über den Konfigurationsparameter "QER\Attestation\AutoRemovalScope\RoleMembership" konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person Mitglied in der Geschäftsrolle wurde.

Tabelle 75: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung
Konfigurationsparameter

Wirkung bei Aktivierung

Hinweise
QER\Attestation\AutoRemovalScope\RoleMembership\RemoveDirectRole

Die sekundäre Mitgliedschaft der Person in der Geschäftsrolle wird entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat!

Mitgliedschaften in dynamischen Rollen werden dadurch nicht entfernt!

QER\Attestation\AutoRemovalScope\RoleMembership\RemoveRequestedRole

Hat die Person die Geschäftsrolle über den IT Shop bestellt, wird sie abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat!

QER\Attestation\AutoRemovalScope\RoleMembership\RemoveDelegatedRole

Wurde die Geschäftsrolle an die Person delegiert, wird die Delegierung beendet.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Geschäftsrolle erhalten hat!

Attestierung und Rezertifizierung von Benutzern

Attestierung und Rezertifizierung von Benutzern

Tabelle 76: Konfigurationsparameter für die Attestierung neuer One Identity Manager Benutzer
Konfigurationsparameter Wirkung bei Aktivierung
QER\Attestation\UserApproval Attestierungsverfahren zur regelmäßigen Überprüfung und Bestätigung von One Identity Manager Benutzern durch deren Manager werden unterstützt.

Über die Attestierungsfunktion des One Identity Manager können die Stammdaten von Personen sowie deren Zielsystemberechtigungen und Zuweisungen regelmäßig überprüft und autorisiert werden. Darüber hinaus stellt der One Identity Manager Standardverfahren bereit, über die die Stammdaten von One Identity Manager Benutzern, die neu in die One Identity Manager Datenbank aufgenommen wurden, zeitnah durch deren Manager attestiert und zertifiziert werden. Diese Funktionalität kann beispielsweise genutzt werden, wenn externen Mitarbeitern zeitweilig Zugang zum One Identity Manager gewährt werden soll. Über zeitgesteuerte Aufträge kann eine regelmäßige Rezertifizierung durchgeführt werden.

Im Rahmen der Attestierung kann ein Manager die Personenstammdaten des zu zertifizierenden Benutzers prüfen und bei Bedarf aktualisieren. Für Attestierungen nutzen Sie das Web Portal.

Um die Attestierungs- und Rezertifizierungsfunktion für neue Benutzer nutzen zu können

  1. Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\UserApproval".
  2. Weisen Sie der Anwendungsrolle Identity Management | Personen | Administratoren mindestens eine Person zu.
Verwandte Themen
  • One Identity Manager Administrationshandbuch für Anwendungsrollen
  • One Identity Manager Anwenderhandbuch für das Web Portal
  • One Identity Manager Konfigurationshandbuch

Benutzer für die Attestierung und Rezertifizierung

In die Attestierung und Rezertifizierung von Personen sind folgende Benutzer eingebunden.

Tabelle 77: Benutzer
Benutzer Aufgaben
Personenadministratoren

Personenadministratoren müssen der Anwendungsrolle Identity Management | Personen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Bearbeiten die Stammdaten aller Personen.
  • Ordnen den Manager zu.
  • Weisen Unternehmensressourcen an die Personen zu.
  • Überprüfen und autorisieren die Stammdaten von Personen.
  • Erstellen und bearbeiten Risikoindex-Berechnungsvorschriften.
  • Bearbeiten Kennwortrichtlinien für Kennwörter von Personen.
Manager
  • Prüfen die Personenstammdaten der zu zertifizierenden Benutzer.
  • Aktualisieren bei Bedarf die Personenstammdaten.
  • Ordnen gegebenenfalls einen anderen Manager zu.
  • Attestieren die Stammdaten.
Administratoren für Attestierungsvorgänge

Administratoren für die Attestierungsvorgänge müssen der Anwendungsrolle Identity & Access Governance | Attestierung | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Passen gegebenenfalls die Attestierungsrichtlinien an.
  • Erstellen bei Bedarf weitere Zeitpläne.
Web Portal Benutzer
  • Registrieren sich am Web Portal und erfassen ihre Stammdaten.
Related Documents