Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Zeitgesteuerte Attestierung

Zeitgesteuerte Attestierung

Benutzer werden auch dann attestiert, wenn der Zertifizierungsstatus einer Person nachträglich (manuell oder per Import) auf "Neu" gesetzt wird. Dafür ist der Attestierungsrichtlinie "Zertifizierung neuer Benutzer" der Zeitplan "Daily" zugeordnet. Die Attestierung neuer Benutzer wird ausgelöst, wenn der in diesem Zeitplan angegebene Ausführungszeitpunkt erreicht ist. Dabei werden alle Personen ermittelt, deren Zertifizierungsstatus "Neu" ist und für die es keinen offenen Attestierungsvorgang gibt.

Sie können der Attestierungsrichtlinie bei Bedarf einen unternehmensspezifischen Zeitplan zuweisen.

Detaillierte Informationen zum Thema

Einschränken der Attestierungsobjekte für die Zertifizierung

Einschränken der Attestierungsobjekte für die Zertifizierung

Wichtig: Für unternehmensspezifische Anpassungen der Standardattestierung "Zertifizierung neuer Benutzer" sind Änderungen an One Identity Manager-Objekten erforderlich. Nutzen Sie für diese Änderungen immer eine unternehmensspezifische Kopie des jeweiligen Objekts!

Es kann notwendig sein, die Attestierung neuer Benutzer auf bestimmte Personengruppen einzuschränken, beispielsweise wenn nur neue Mitarbeiter einer bestimmten Abteilung attestiert werden sollen. Dafür können Sie die Bedingung an der Attestierungsrichtlinie erweitern. Erstellen Sie dafür eine unternehmensspezifische Attestierungsrichtlinie.

Damit die Attestierung neuer Benutzer mit dieser Attestierungsrichtlinie durchgeführt werden kann, müssen folgende Objekte angepasst werden. Erstellen Sie dafür immer eine Kopie des jeweiligen Objekts.

  • Attestierungsrichtlinie "Zertifizierung neuer Benutzer"
  • Prozess "VI_Attestation_Person_new_AttestationCase_for_Certification"
  • Prozess "VI_Attestation_AttestationCase_Person_Approval_Granted"
  • Prozess "VI_Attestation_AttestationCase_Person_Approval_Dismissed"

Wichtig: Damit die Attestierung im Web Portal fehlerfrei durchgeführt werden kann, müssen der Attestierungsrichtlinie das Standard-Attestierungsverfahren "Zertifizierung von Benutzern" und die Standard-Entscheidungsrichtlinie "Zertifizierung von Benutzern" zugeordnet sein!

Das Standard-Attestierungsverfahren, die Standard-Entscheidungsrichtlinie und der Standard-Entscheidungsworkflow "Zertifizierung von Benutzern" dürfen nicht verändert werden!

Um die standardmäßige Attestierung neuer Benutzer unternehmensspezifisch anzupassen

  1. Kopieren Sie die Attestierungsrichtlinie "Zertifizierung neuer Benutzer" und passen Sie die Kopie an.
    Tabelle 87: Eigenschaften der Attestierungsrichtlinie
    Eigenschaft Wert
    Attestierungsverfahren "Zertifizierung von Benutzern"
    Entscheidungsrichtlinie "Zertifizierung von Benutzern"
    Bedingung bearbeiten...

    Die Standardbedingung muss unverändert übernommen werden, damit die korrekten Attestierungsobjekte ausgewählt werden!

    Die Bedingung kann unternehmensspezifisch erweitert werden.

  2. Kopieren Sie im Designer den Prozess VI_Attestation_Person_new_AttestationCase_for_Certification des Basisobjekts Person und passen Sie die Kopie an.
    Tabelle 88: Prozesseigenschaften mit Änderungen
    Prozessschritt Parameter Änderung
    Create attestation instance WhereClause Ersetzen Sie die UID der Attestierungsrichtlinie „Zertifizierung neuer Benutzer“ durch die UID der neuen Attestierungsrichtlinie.
  3. Kopieren Sie im Designer den Prozess VI_Attestation_AttestationCase_Person_Approval_Granted des Basisobjekts AttestationCase und passen Sie die Kopie an.
    Tabelle 89: Prozesseigenschaften mit Änderungen
    Prozesseigenschaft Änderung
    Prä-Skript zur Generierung Ersetzen Sie die UID der Attestierungsrichtlinie "Zertifizierung neuer Benutzer" durch die UID der neuen Attestierungsrichtlinie.
    Generierungsbedingung
  4. Kopieren Sie im Designer den Prozess VI_Attestation_AttestationCase_Person_Approval_Dismissed des Basisobjekts AttestationCase und passen Sie die Kopie an.
    Tabelle 90: Prozesseigenschaften mit Änderungen
    Prozesseigenschaft Änderung
    Prä-Skript zur Generierung Ersetzen Sie die UID der Attestierungsrichtlinie "Zertifizierung neuer Benutzer" durch die UID der neuen Attestierungsrichtlinie.
    Generierungsbedingung
Detaillierte Informationen zum Thema

Rezertifizierung vorhandener Benutzer

Rezertifizierung vorhandener Benutzer

Wichtig: Als Ergebnis der Rezertifizierung wird One Identity Manager Benutzern möglicherweise der Zugang zu den angeschlossenen Zielsystemen entzogen! Das Verhalten können Sie unternehmensspezifisch konfigurieren. Lesen Sie den folgenden Abschnitt aufmerksam durch, bevor Sie die Rezertifizierungsfunktion nutzen.

Damit Unternehmen die im One Identity Manager gespeicherten Personenstammdaten regelmäßig überprüfen und autorisieren können, stellt der One Identity Manager eine Attestierungsrichtlinie zur zyklischen Attestierung vorhandener Benutzer bereit. Die zyklische Attestierung wird durch einen zeitgesteuerten Auftrag ausgelöst. Dabei wird der Zertifizierungsstatus für alle in der Datenbank gespeicherten Personen neu gesetzt. Der One Identity Manager nutzt dafür das selbe Verfahren wie für die Attestierung neuer Benutzer. Der Vorgang wird als Rezertifizierung bezeichnet.

Ergebnis der Rezertifizierung
  • Personen, die zertifiziert und aktiviert sind und damit über alle ihnen zugewiesenen Berechtigungen im One Identity Manager und den angeschlossenen Zielsystemen verfügen.

    Unternehmensressourcen werden vererbt. Kontendefinitionen werden zugewiesen.

    - ODER -

  • Personen, die abgelehnt und dauerhaft deaktiviert sind.

    Deaktivierte Personen können sich nicht an den One Identity Manager Werkzeugen anmelden. Unternehmensressourcen werden nicht vererbt. Kontendefinitionen werden nicht automatisch zugewiesen. Mit der Person verbundene Benutzerkonten werden gegebenenfalls gesperrt oder gelöscht. Das gewünschte Verhalten können Sie unternehmensspezifisch konfigurieren.

Vorbereitung der Rezertifizierung

Vorbereitung der Rezertifizierung

Um die regelmäßige Attestierung von Benutzern einzurichten

  1. Aktivieren Sie im Designer den Konfigurationsparameter "QER\Attestation\UserApproval".
  2. Erstellen Sie einen Zeitplan und ordnen Sie diesen der Attestierungsrichtlinie "Rezertifizierung von Benutzern" zu. Dabei ersetzen Sie den standardmäßig zugeordneten Zeitplan.
    • Aktivieren Sie den Zeitplan.
  3. Weisen Sie der Anwendungsrolle Identity Management | Personen | Administratoren mindestens eine Person zu.

    Alle Personen mit dieser Anwendungsrolle können im Verlauf der Attestierung einen Manager an die zu attestierenden Personen zuordnen.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating