Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Attestierung neuer Benutzer

Attestierung neuer Benutzer

Für die Attestierung neuer Benutzer unterscheidet der One Identity Manager drei Anwendungsfälle:

  1. Anlegen eines neuen Benutzers bei der Anmeldung im Web Portal
  2. Anlegen neuer Personen im Manager
  3. Anlegen neuer Personen durch Import der Personenstammdaten

Das Ergebnis der Attestierung ist in allen drei Anwendungsfällen identisch.

  • Personen, die zertifiziert und aktiviert sind und damit über alle ihnen zugewiesenen Berechtigungen im One Identity Manager und den angeschlossenen Zielsystemen verfügen.

    Unternehmensressourcen werden vererbt. Kontendefinitionen werden zugewiesen.

    - ODER -

  • Personen, die abgelehnt und dauerhaft deaktiviert sind.

    Deaktivierte Personen können sich nicht an den One Identity Manager Werkzeugen anmelden. Unternehmensressourcen werden nicht vererbt. Kontendefinitionen werden nicht automatisch zugewiesen. Mit der Person verbundene Benutzerkonten werden gegebenenfalls gesperrt oder gelöscht. Das gewünschte Verhalten können Sie unternehmensspezifisch konfigurieren.

Anlegen neuer Benutzer im Web Portal

Anlegen neuer Benutzer im Web Portal

Auf der Startseite des Web Portals können sich neue Benutzer registrieren lassen. Diese Benutzer können sich am One Identity Manager anmelden, sobald die verantwortlichen Personen die Stammdaten des Benutzers attestiert haben.

Ablauf der Attestierung

  1. Der Benutzer erfasst seine Stammdaten im Web Portal.

    Ein neues Personenobjekt wird in der One Identity Manager Datenbank angelegt mit den Eigenschaften:

    Tabelle 78: Eigenschaften einer neu angelegten Person
    Eigenschaft Wert
    Zertifizierungsstatus Neu
    Dauerhaft deaktiviert aktiviert
    Keine Vererbung aktiviert
  2. Die Attestierung startet automatisch.
    Genutzte Attestierungsrichtlinie: „Zertifizierung neuer Benutzer“

    		 Hinweis: Die Attestierung startet nur dann automatisch, wenn der Konfigurationsparameter "QER\Attestation\UserApproval" aktiviert ist. Andernfalls bleibt der neue Benutzer dauerhaft deaktiviert, bis ein Verantwortlicher die Personenstammdaten manuell ändert!
  3. Die Attestierer werden ermittelt.
    Wirksame Entscheidungsrichtlinie: "Zertifizierung von Benutzern"

Abbildung 4: Entscheidungsworkflow "Zertifizierung von Benutzern" beim Anlegen im Web Portal

  1. Da beim Anlegen eines neuen Benutzers im Web Portal diesem Benutzer noch kein Manager zugeordnet ist, wird der Vorgang den One Identity Manager Benutzern mit der Anwendungsrolle Identity Management | Personen | Administratoren (im Folgenden "Personenadministratoren" genannt) zur Entscheidung zugewiesen.
  2. Ein Personenadministrator prüft die Stammdaten des neuen Benutzers und ordnet gegebenenfalls einen Manager zu.
    1. Ein Personenadministrator ordnet einen Manager zu und stimmt der Attestierung zu. Der Vorgang wird dem Manager zur Entscheidung zugewiesen.
    2. Wenn ein Personenadministrator keinen Manager zuordnet und der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
      Tabelle 79: Eigenschaften einer Person mit genehmigter Attestierung
      Eigenschaft Wert Erläuterung
      Zertifizierungsstatus Zertifiziert  
      Dauerhaft deaktiviert deaktiviert Der Benutzer kann sich am Web Portal anmelden.
      Keine Vererbung deaktiviert Unternehmensressourcen werden vererbt.
    3. Wenn ein Personenadministrator die Attestierung ablehnt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
      Tabelle 80: Eigenschaften einer Person mit abgelehnter Attestierung
      Eigenschaft Wert Erläuterung
      Zertifizierungsstatus Abgelehnt  
      Dauerhaft deaktiviert aktiviert Der Benutzer kann sich nicht am Web Portal anmelden.
      Keine Vererbung aktiviert

      Unternehmensressourcen werden nicht vererbt.

      Benutzerkonten werden nicht automatisch erstellt.

  3. Der Manager kann die Attestierung ablehnen, wenn er nicht der verantwortliche Manager dieses Benutzers ist.
    1. Er kann eine andere Person als Manager zuordnen. Diesem wird der Vorgang sofort zur Entscheidung zugewiesen.
    2. Wenn ihm der korrekte Manager nicht bekannt ist, wird die Entscheidung an die Personenadministratoren zurückgegeben. Diese können
      • einen anderen Manager zuordnen (5 a),
      • keinen neuen Manager zuordnen und der Attestierung zustimmen (5 b) oder
      • die Attestierung ablehnen (5 c).
  4. Wenn der Manager der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
    Tabelle 81: Eigenschaften einer Person mit genehmigter Attestierung
    Eigenschaft Wert Erläuterung
    Zertifizierungsstatus Zertifiziert  
    Dauerhaft deaktiviert deaktiviert Der Benutzer kann sich am Web Portal anmelden.
    Keine Vererbung deaktiviert Unternehmensressourcen werden vererbt.

 Hinweis: Die Attestierung endgültig ablehnen können nur die Personenadministratoren. Wenn ein Manager die Attestierung ablehnt, wird der Vorgang in jedem Fall an die Personenadministratoren zur Entscheidung zurückgewiesen.

Für Attestierungen nutzen die Personenadministratoren und Manager das Web Portal.

Verwandte Themen
  • One Identity Manager Anwenderhandbuch für das Web Portal

Anlegen neuer Personen im One Identity Manager

Anlegen neuer Personen im One Identity Manager

Tabelle 82: Konfigurationsparameter für die Attestierung neuer One Identity Manager Benutzer
Konfigurationsparameter Wirkung bei Aktivierung
QER\Attestation\UserApproval\InitialApprovalState Zertifizierungsstatus für neue Personen. Wird eine Person mit dem Zertifizierungsstatus "1=Neu" angelegt, wird eine Attestierung der Daten durch den Manager der Person ausgelöst.

Eine Attestierung neuer Benutzer ist auch möglich, wenn im Manager neue Personen angelegt werden. Das gewünschte Verhalten wird am Konfigurationsparameter "QER\Attestation\UserApproval\InitialApprovalState" festgelegt. Standardmäßig hat der Konfigurationsparameter den Wert "0". Damit erhält jede neue Person den Zertifizierungsstatus "Zertifiziert". Es wird keine automatische Attestierung durchgeführt.

Damit neue Benutzer automatisch durch die zugeordneten Manager attestiert werden können

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\UserApproval\InitialApprovalState" und setzen Sie den Wert auf "1".

    Alle Personen, die ab diesem Zeitpunkt neu in der Datenbank angelegt werden, erhalten den Zertifizierungsstatus "Neu". Damit wird eine automatische Attestierung dieser Personen durchgeführt.

Ablauf der Attestierung

  1. Erfassen Sie die Stammdaten des neuen Benutzers in der Kategorie Personen | Personen und ordnen Sie einen Manager zu.

    Der Zertifizierungsstatus entspricht dem Wert des Konfigurationsparameters "QER\Attestation\UserApproval\InitialApprovalState". Wenn am Konfigurationsparameter der Wert „1“ gesetzt ist, wird der Zertifizierungsstatus "Neu" gesetzt.

    Die Person ist standardmäßig aktiviert und kann sich sofort am One Identity Manager anmelden.

    • Wenn neue Benutzer sich erst dann am One Identity Manager anmelden dürfen, wenn ihre Stammdaten attestiert wurden, führen Sie die Aufgabe Person dauerhaft deaktivieren aus.
  2. Sobald die Personenstammdaten gespeichert wurden, startet die Attestierung.
    Genutzte Attestierungsrichtlinie: "Zertifizierung neuer Benutzer"
  3. Die Attestierer werden ermittelt.
    Wirksame Entscheidungsrichtlinie: "Zertifizierung von Benutzern"

Die Attestierung läuft wie im Folgenden beschrieben ab. Für Attestierungen nutzen die Personenadministratoren und Manager das Web Portal.

Abbildung 5: Entscheidungsworkflow "Zertifizierung von Benutzern" beim Anlegen im Manager

  1. Der One Identity Manager prüft, ob der Person ein Manager zugeordnet wurde.
    1. Wenn der Person ein Manager zugeordnet wurde, wird der Vorgang sofort diesem Manager zur Entscheidung zugewiesen.
    2. Wenn der Person kein Manager zugeordnet wurde, wird der Vorgang den Personenadministratoren zur Entscheidung zugewiesen.
  2. Ein Personenadministrator prüft die Stammdaten des neuen Benutzers und ordnet gegebenenfalls einen Manager zu.
    1. Ein Personenadministrator ordnet einen Manager zu und stimmt der Attestierung zu. Der Vorgang wird dem Manager zur Entscheidung zugewiesen.
    2. Wenn ein Personenadministrator keinen Manager zuordnet und der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
      Tabelle 83: Eigenschaften einer Person mit genehmigter Attestierung
      Eigenschaft Wert Erläuterung
      Zertifizierungsstatus Zertifiziert  
      Dauerhaft deaktiviert deaktiviert  
      Keine Vererbung deaktiviert Unternehmensressourcen werden vererbt.
    3. Wenn ein Personenadministrator die Attestierung ablehnt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
      Tabelle 84: Eigenschaften einer Person mit abgelehnter Attestierung
      Eigenschaft Wert Erläuterung
      Zertifizierungsstatus Abgelehnt  
      Dauerhaft deaktiviert aktiviert  
      Keine Vererbung aktiviert

      Unternehmensressourcen werden nicht vererbt.

      Benutzerkonten werden nicht automatisch erstellt.

  3. Der Manager kann die Attestierung ablehnen, wenn er nicht der verantwortliche Manager dieses Benutzers ist.
    1. Er kann eine andere Person als Manager zuordnen. Diesem wird der Vorgang sofort zur Entscheidung zugewiesen.
    2. Wenn ihm der korrekte Manager nicht bekannt ist, wird die Entscheidung an die Personenadministratoren zurückgegeben. Diese können
      • einen anderen Manager zuordnen (5 a),
      • keinen neuen Manager zuordnen und der Attestierung zustimmen (5 b) oder
      • die Attestierung ablehnen (5 c).
  4. Wenn der Manager der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
    Tabelle 85: Eigenschaften einer Person mit genehmigter Attestierung
    Eigenschaft Wert Erläuterung
    Zertifizierungsstatus Zertifiziert  
    Dauerhaft deaktiviert deaktiviert  
    Keine Vererbung deaktiviert Unternehmensressourcen werden vererbt.

 Hinweis: Die Attestierung endgültig ablehnen können nur die Personenadministratoren. Wenn ein Manager die Attestierung ablehnt, wird der Vorgang in jedem Fall an die Personenadministratoren zur Entscheidung zurückgewiesen.
Verwandte Themen
  • One Identity Manager Anwenderhandbuch für das Web Portal

Importieren neuer Personenstammdaten

Importieren neuer Personenstammdaten

Tabelle 86: Konfigurationsparameter für die Attestierung neuer One Identity Manager Benutzer
Konfigurationsparameter Wirkung bei Aktivierung
QER\Attestation\UserApproval\InitialApprovalState Zertifizierungsstatus für neue Personen. Wird eine Person mit dem Zertifizierungsstatus "1=Neu" angelegt, wird eine Attestierung der Daten durch den Manager der Person ausgelöst.

Eine Attestierung neuer Personen kann angefordert werden, wenn die Personenstammdaten aus anderen Systemen in die One Identity Manager Datenbank importiert werden. Damit neue Personen automatisch attestiert werden, muss der Zertifizierungsstatus der Person beim Anlegen auf "Neu" gesetzt werden (Person.ApprovalState = '1'). Dafür gibt es zwei Möglichkeiten:

  1. Für den Zertifizierungsstatus wird der Konfigurationsparameter "QER\Attestation\UserApproval\InitialApprovalState" ausgewertet. Wenn am Konfigurationsparameter der Wert "1" gesetzt ist, wird der Zertifizierungsstatus "Neu" gesetzt.

    Voraussetzung: Der Import verändert nicht die Eigenschaft Person.ApprovalState.

    Hinweis: Standardmäßig hat der Konfigurationsparameter "QER\Attestation\UserApproval\InitialApprovalState"den Wert "0". Damit erhält jede neue Person den Zertifizierungsstatus "Zertifiziert". Es wird keine automatische Attestierung durchgeführt.

    Wenn neue Personen sofort attestiert werden sollen, ändern Sie den Wert des Konfigurationsparameters auf "1".

  2. Der Import setzt explizit die Eigenschaft Person.ApprovalState.
    • Der Import setzt ApprovalState = '1' ("Neu").

      Die Person wird automatisch durch ihren Manager attestiert.

    • Der Import setzt ApprovalState = '0' ("Zertifiziert").

      Die importierten Personenstammdaten sind bereits authorisiert. Sie sollen nicht erneut attestiert werden.

    • Der Import setzt ApprovalState = '3' ("Abgelehnt").

      Die Person wird dauerhaft deaktiviert und nicht attestiert.

Die Attestierung neuer Benutzer wird ausgelöst, wenn

  • der Konfigurationsparamter "QER\Attestation\UserApproval" aktiviert ist,
  • neue Personenstammdaten in die One Identity Manager Datenbank importiert wurden,
  • der Zertifizierungsstatus der neuen Personen "Neu" ist und
  • keine Datenquelle Import an der Person hinterlegt ist.

Die Attestierung läuft wie im Abschnitt Anlegen neuer Personen im One Identity Manager, Schritt 4 bis 7 beschrieben ab. Es wird die Attestierungsrichtlinie "Zertifizierung neuer Benutzer" ausgeführt.

Related Documents