Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien Entscheidungsworkflows Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Anhang: Konfigurationsparameter für die Attestierung

Anhang: Konfigurationsparameter für die Attestierung

Mit der Installation des Moduls sind zusätzliche Konfigurationsparameter im One Identity Manager verfügbar. Einige allgemeine Konfigurationsparameter sind für die Attestierung relevant. Die folgende Tabelle enthält eine Zusammenstellung aller für die Attestierung geltenden Konfigurationsparameter.

Tabelle 96: Übersicht der Konfigurationsparameter

Konfigurationsparameter

Beschreibung

QER\Attestation

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Attestierung. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.

Ist der Parameter aktiviert, können Sie die Attestierungsfunktion nutzen.

QER\Attestation\AllowAllReportTypes

Der Konfigurationsparameter legt fest, ob für Attestierungsrichtlinien alle Berichtsformate erlaubt sind. Standardmäßig ist nur PDF erlaubt, da dies als einziges Format revisionssicher ist.

QER\Attestation\
AutoCloseInactivePerson

Ist der Konfigurationsparameter aktiviert, werden offene Attestierungsvorgänge für eine Person geschlossen, sobald die Person dauerhaft deaktiviert wird.

QER\Attestation\AutoRemovalScope

Allgemeiner Konfigurationsparameter zur Definition des automatischen Entzugs von Berechtigungen nach einer negativen Entscheidung im Rahmen einer Attestierung.

QER\Attestation\AutoRemovalScope\
AERoleMembership

Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Anwendungsrollen bei negativer Attestierung.

QER\Attestation\AutoRemovalScope\
AERoleMembership\
RemoveDelegatedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Delegierung der Anwendungsrolle beendet.

QER\Attestation\AutoRemovalScope\
AERoleMembership\
RemoveDirectRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Mitglieschaft der Person in der Anwendungsrolle entfernt.

QER\Attestation\AutoRemovalScope\
AERoleMembership\
RemoveRequestedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die bestellte Mitglieschaft in der Anwendungsrolle abbestellt.

QER\Attestation\AutoRemovalScope\
ESetAssignment

Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Systemrollen bei negativer Attestierung.

QER\Attestation\AutoRemovalScope\
ESetAssignment\
RemoveDelegatedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Delegierung der Rolle beendet, über die die Person die Systemrolle erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\
ESetAssignment\RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die direkte Mitgliedschaft in der Systemrolle entfernt.

Damit werden alle indirekten Zuweisungen, die die Person über die Systemrolle erhalten hat, entfernt!

QER\Attestation\AutoRemovalScope\
ESetAssignment\RemoveDirectRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemrolle an Rollen (Organisationen und Geschäftsrollen) entfernt. Damit wird die Zuweisung der Systemrolle zu allen Personen entfernt, die Mitglied dieser Rollen sind.

Wichtig: Dadurch können auch Personen die Systemrolle verlieren, deren Attestierung genehmigt wurde!

QER\Attestation\AutoRemovalScope\
ESetAssignment\
RemovePrimaryRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuordnung der primären Rolle, über die die Person die Systemrolle erhalten hat, von der Person entfernt.

Damit werden alle indirekten Zuweisungen, die die Person über diese Rolle erhalten hat, entfernt!

QER\Attestation\AutoRemovalScope\
ESetAssignment\RemoveRequested

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die bestellte Systemrolle abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über die Systemrolle erhalten hat!

QER\Attestation\AutoRemovalScope\
ESetAssignment\
RemoveRequestedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die bestellte Rolle abbestellt, über die die Person die Systemrolle erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\
GroupMembership

Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Unified Namespace Systemberechtigungen bei negativer Attestierung.

QER\Attestation\AutoRemovalScope\
GroupMembership\
RemoveDelegatedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Delegierung der Rolle beendet, über die die Person die Systemberechtigung erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\
GroupMembership\RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die direkte Mitgliedschaft des Benutzerkontos in der Systemberechtigung entfernt.

QER\Attestation\AutoRemovalScope\
GroupMembership\
RemoveDirectRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemberechtigung an Rollen (Organisationen und Geschäftsrollen) entfernt. Damit wird die Zuweisung der Systemberechtigung zu allen Benutzerkonten entfernt, deren verbundene Personen Mitglied dieser Rollen sind.

Wichtig: Dadurch können auch Benutzerkonten die Systemberechtigung verlieren, deren Attestierung genehmigt wurde!

QER\Attestation\AutoRemovalScope\
GroupMembership\
RemovePrimaryRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuordnung der primären Rolle, über die die Person die Systemberechtigung erhalten hat, von der Person entfernt.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\
GroupMembership\
RemoveRequested

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die bestellte Systemberechtigung abbestellt.

QER\Attestation\AutoRemovalScope\
GroupMembership\
RemoveRequestedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die bestellte Rolle abbestellt, über die die Person die Systemberechtigung erhalten hat.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Rolle erhalten hat!

QER\Attestation\AutoRemovalScope\
GroupMembership\
RemoveSystemRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuordnung der Systemrolle, über die die Person die Systemberechtigung erhalten hat, von der Person entfernt.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Systemrolle erhalten hat!

Hinweis: Dieser Konfigurationsparameter ist nur verfügbar, wenn das Systemrollenmodul installiert ist.

QER\Attestation\AutoRemovalScope\
RoleMembership

Bestimmt das Standardverhalten für das Entfernen von Mitgliedschaften in Geschäftsrollen bei negativer Attestierung.

QER\Attestation\AutoRemovalScope\
RoleMembership\
RemoveDelegatedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Delegierung der Geschäftsrolle beendet.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Geschäftsrolle erhalten hat!

QER\Attestation\AutoRemovalScope\
RoleMembership\RemoveDirectRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die sekundäre Mitglieschaft der Person in der Geschäftsrolle entfernt.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Geschäftsrolle erhalten hat!

QER\Attestation\AutoRemovalScope\
RoleMembership\
RemoveRequestedRole

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die bestellte Mitglieschaft in der Geschäftsrolle abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, die die Person über diese Geschäftsrolle erhalten hat!

QER\Attestation\AutoRemovalScope\
UNSGroupInUNSGroup

Bestimmt das Standardverhalten für das Entfernen von Zuweisungen von Unified Namespace Systemberechtigungen an Systemberechtigungen bei negativer Attestierung.

QER\Attestation\AutoRemovalScope\
UNSGroupInUNSGroup\
RemoveDirect

Ist der Konfigurationsparameter aktiviert, wird bei negativer Attestierung die Zuweisung der Systemberechtigung an eine Systemberechtigung entfernt.

QER\Attestation\
DefaultSenderAddress

Der Konfigurationsparameter enthält die Absender E-Mail Adresse für automatisch generierte Benachrichtigungen für die Attestierung.

QER\Attestation\MailApproval\
Account

Name des Benutzerkontos zur Authentifizierung am "Entscheidung per E-Mail" Postfach.

QER\Attestation\MailApproval\
DeleteMode

Gibt die Art und Weise an, wie E-Mails im Posteingang gelöscht werden sollen.

QER\Attestation\MailApproval\
Domain

Domäne des Benutzerkontos zur Authentifizierung am "Entscheidung per E-Mail" Postfach.

QER\Attestation\MailApproval\
ExchangeURI

Angabe der Microsoft Exchange Web Service URL. Ist diese nicht spezifiziert, wird der AutoDiscover Modus zur Erkennung der URL verwendet.

QER\Attestation\MailApproval\
Inbox

Microsoft Exchange Postfach, welches für Prozesse der "Entscheidung per E-Mail" genutzt wird.

QER\Attestation\MailApproval\
Password

Kennwort des Benutzerkontos zur Authentifizierung am "Entscheidung per E-Mail" Postfach.

QER\Attestation\
MailTemplateIdents\
AnswerToApprover

Mailvorlage, die genutzt wird, um eine Benachrichtigung mit der Antwort auf seine Frage an einen Entscheider zu versenden.

QER\Attestation\
MailTemplateIdents\
AttestationApproval

Mailvorlage, die genutzt wird, um Attestierungen durch "Entscheidung per E-Mail" zu entscheiden.

QER\Attestation\
MailTemplateIdents\
InformAddingPerson

Mailvorlage, die genutzt wird, um eine Benachrichtigungs-Mail an einen Entscheider zu versenden, dass sein zusätzlich eingefügter Schritt entschieden wurde.

QER\Attestation\
MailTemplateIdents\
InformDelegatingPerson

Mailvorlage, die genutzt wird, um eine Benachrichtigungs-Mail an einen Entscheider zu versenden, das sein delegierter Schritt entschieden wurde.

QER\Attestation\
MailTemplateIdents\
QueryFromApprover

Mailvorlage, die genutzt wird, um eine Benachrichtigung mit der Frage eines Entscheiders an eine Person zu versenden.

QER\Attestation\
MailTemplateIdents\
RequestApproverByCollection

Mailvorlage, die genutzt wird, um eine Benachrichtigung an einen Entscheider zu versenden, dass noch offene Attestierungen vorliegen. Wenn der Konfigurationsparameter nicht aktiviert ist, kann für einzelne Entscheidungsschritte eine "Mailvorlage Aufforderung" bzw. "Mailvorlage Erinnerung" angegeben werden, welche für jeden einzelnen Attestierungsvorgang versendet wird. Wenn der Konfigurationsparameter aktiviert ist, werden keine Einzelbenachrichtigungen versendet.

QER\Attestation\
PersonToAttestNoDecide

Der Konfigurationsparameter legt fest, ob Personen, die attestiert werden, diesen Attestierungsvorgang entscheiden dürfen. Ist der Parameter aktiviert, darf ein Attestierungsvorgang nicht von den Personen entschieden werden, die im Attestierungsobjekt (AttestationCase.ObjectKeyBase) oder in den Objektbeziehungen 1-3 (AttestationCase.UID_ObjectKey1, ObjectKey2 oder ObjectKey3) enthalten sind. Ist der Parameter nicht aktiviert, dürfen diese Personen über diesen Attestierungsvorgang entscheiden.

QER\Attestation\
ReducedApproverCalculation

Der Konfigurationsparameter legt fest, welche Entscheidungsschritte neu berechnet werden sollen, wenn durch Änderungen von Verantwortlichkeiten die Attestierer neu ermittelt werden müssen.

QER\Attestation\UserApproval

Attestierungsverfahren zur regelmäßigen Überprüfung und Bestätigung von One Identity Manager Benutzern durch deren Manager werden unterstützt.

QER\Attestation\UserApproval\
InitialApprovalState

Zertifizierungsstatus für neue Personen. Wird eine Person mit dem Zertifizierungsstatus 1=Neu angelegt, wird eine Attestierung der Daten durch den Manager der Person ausgelöst.

QER\CalculateRiskIndex

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Berechnung des Risikoindex. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.

Ist der Parameter aktiviert, können Werte für den Risikoindex erfasst und berechnet werden.

QER\Person\Defender

Der Konfigurationsparameter legt fest, ob die Starling Two-Factor Authentication Integration unterstützt wird.

QER\Person\Defender\ApiEndpoint

Der Konfigurationsparameter enthält die URL des Starling 2FA API Endpunktes, über den neue Benutzer registriert werden.

QER\Person\Defender\ApiKey

Der Konfigurationsparameter enthält den Abonnementschlüssel Ihres Unternehmens zum Zugriff auf die Starling Two-Factor Authentication Schnittstelle.

QER\Person\Defender\
DisableForceParameter

Der Konfigurationsparameter legt fest, ob Starling 2FA gezwungen werden soll, den Sicherheitscode per SMS oder Telefonanruf zu senden, wenn für die Multifaktor-Authentifizierung eine dieser Optionen ausgewählt ist. Wenn der Konfigurationsparameter aktiviert ist, kann Starling 2FA diese Anforderung zurückweisen; der Benutzer muss dann den Sicherheitscode über die Starling 2FA App anfordern.

QER\WebPortal\BaseURL

URL zum Web Portal. Diese Adresse wird in Mailvorlagen genutzt, um Hyperlinks auf das Web Portal einzufügen.

Common\MailNotification\
DefaultCulture

Der Konfigurationsparameter enthält die Standardsprachkultur, in der E-Mail Benachrichtigungen versendet werden, wenn für einen Empfänger keine Sprachkultur ermittelt werden kann.

Common\MailNotification\Signature

Angaben zur Signatur in automatisch aus Mailvorlagen generierten E-Mails.

Common\MailNotification\Signature\
Caption

Unterschrift unter die Grußformel.

Common\MailNotification\Signature\
Company

Name des Unternehmens.

Common\MailNotification\Signature\
Link

Link zur Firmen Webseite.

Common\MailNotification\
SMTPAccount

Name des Benutzerkontos zur Authentifizierung am SMTP Server.

Common\MailNotification\
SMTPDomain

Domäne des Benutzerkontos zur Authentifizierung am SMTP Server.

Common\MailNotification\
SMTPPassword

Kennwort des Benutzerkontos zur Authentifizierung am SMTP Server.

Common\MailNotification\
SMTPPort

Port des SMTP-Dienstes auf dem SMTP Server (Standard: 25).

Common\MailNotification\
SMTPRelay

SMTP Server zum Versenden von Benachrichtigungen.

Common\MailNotification\
SMTPUseDefaultCredentials

Ist der Konfigurationsparameter aktiviert, werden zur Authentifizierung am SMTP Server die Credentials des One Identity Manager Services verwendet. Ist der Konfigurationsparameter nicht aktiviert werden die in den Konfigurationsparametern "Common\MailNotification\SMTPDomain" und "Common\MailNotification\SMTPAccount" bzw. "Common\MailNotification\SMTPPassword" hinterlegten Anmeldeinformationen verwendet werden.

Common\ProcessState\PropertyLog

Bei Aktivierung des Konfigurationsparameters werden Änderungen einzelner Werte aufgezeichnet und in der Prozessansicht angezeigt.

Related Documents