Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Complianceregeln

Complianceregeln und Identity Audit
One Identity Manager Benutzer für das Identity Audit Basisdaten für die Regelerstellung Einrichten eines Regelwerkes Regelprüfung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Risikomindernde Maßnahmen Konfigurationsparameter für das Identity Audit

Erstellen von Regelbedingungen

Erstellen von Regelbedingungen

Tabelle 24: Allgemeine Konfigurationsparameter für Regelkonformität
Konfigurationsparameter Bedeutung bei Aktivierung
QER\ComplianceCheck\SimpleMode Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Definition von Regelbedingungen für die Complianceregeln. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.

Ist der Parameter aktiviert, können Sie Regelbedingungen mit der vereinfachten Definition erstellen.

In der Regelbedingung stellen Sie die Berechtigungen zusammen, die zu einer Regelverletzung führen. In der Regelbedingung werden die betroffene Personengruppe und die betroffenen Berechtigungen separat eingeschränkt. Über die betroffene Personengruppe werden die Personen und Identitäten ermittelt, auf die die Regelbedingung anzuwenden ist. Über die betroffenen Berechtigungen werden die Eigenschaften definiert, die für die betroffene Personengruppe zu einer Regelverletzung führen. Die Berechtigungen werden über die Objektbeziehungen der betroffenen Personen ermittelt (Tabelle PersonHasObject).

Hinweis: Wenn der Konfigurationsparameter "QER\ComplianceCheck\SimpleMode\NonSimpleAllowed“ aktiviert ist, können Regelbedingungen sowohl im erweiterten Modus als auch in der vereinfachten Definition erstellt werden.

Um die vereinfachte Definition zu nutzen

  • Aktivieren Sie in den allgemeinen Stammdaten der Regel die Option Regel für zyklische Prüfung und Risikobewertung im IT Shop.

Weitere Informationen finden Sie unter Regelbedingungen im erweiterten Modus.

Grundlagen zum Umgang mit dem Regeleditor

Grundlagen zum Umgang mit dem Regeleditor

Tabelle 25: Konfigurationsparameter für zusätzliche Eingabefelder an Regelbedingungen
Konfigurationsparameter Bedeutung bei Aktivierung
QER\ComplianceCheck\SimpleMode\ShowDescriptions Im Regeleditor werden zusätzliche Eingabefelder für die Beschreibung der Complianceregeln angezeigt

Bei der Formulierung der Regelbedingungen unterstützt Sie der Regeleditor. Hier können Sie vordefinierte Bedingungstypen und Operatoren nutzen. Die komplette Datenbankabfrage wird intern zusammengesetzt. Ist der Konfigurationsparamter "QER\ComplianceCheck\SimpleMode\ShowDescriptions" aktiviert, werden in der vereinfachten Definition zusätzliche Eingabefelder für eine nähere Beschreibung der einzelnen Regelblöcke angezeigt.

Abbildung 2: Regeleditor für die vereinfachte Definition von Regeln

Die Steuerelemente des Regeleditors stellen Operatoren und Eigenschaften zur Verfügung, die Sie zur Formulierung der Teilbedingungen benötigen. In einfachen Auswahllisten können Sie nur einen Eintrag auswählen. In erweiterten Auswahllisten mit einer hierarchischen Darstellung der Eigenschaften können Sie mehrere Einträge auswählen, die über eine Oder-Verknüpfung in die Bedingung eingebunden werden. Über Eingabefelder ist die freie Eingabe von Text zulässig. Die verfügbaren Auswahllisten und Eingabefelder werden dynamisch eingeblendet.

Eine Regelbedingung setzt sich aus mehreren Regelblöcken zusammen. Eine Regelverletzung wird festgestellt, wenn eine Person mit ihren Eigenschaften und Zuweisungen allen Regelblöcken zugeordnet werden kann.

Es gibt zwei Arten von Regelblöcken:

  • Betroffene Personengruppe

    Jede Regel muss genau einen Regelblock enthalten, der die Personengruppe festlegt, auf welche die Regel angewendet werden soll. Standardmäßig werden alle Personen mit allen Identitäten beachtet. Sie können die Personengruppe jedoch weiter einschränken.

  • Betroffene Berechtigungen

    Definieren Sie mindestens einen Regelblock, der die betroffenen Berechtigungen ermittelt. Hier werden die Eigenschaften zusammengestellt, die für die betroffene Personengruppe zu einer Regelverletzung führen. Folgende Berechtigungen können Sie in den Regelblöcken prüfen: Mitgliedschaften in hierarchischen Rollen, Systemberechtigungen, Systemrollen, Applikationen, Ressourcen.

Mit dem Regeleditor können Sie beliebig viele Teilbedingungen innerhalb der einzelnen Regelblöcke einfügen und miteinander verknüpfen. Über die Optionen Alle und Mindestens eine legen Sie fest, ob eine oder alle Teilbedingungen eines Regelblocks erfüllt sein müssen.

Tabelle 26: Bedeutung der Symbole im Regeleditor
Symbol Bedeutung
Hinzufügen einer weiteren Teilbedingung beziehungsweise eines weiteren Regelblocks. Es wird eine neue Zeile für die Bedingungseingabe eingeblendet.
Löschen der Teilbedingung beziehungsweise des Regelblocks. Die Zeile wird ausgeblendet.
Öffnen des Vorschaufensters. Es werden die betroffenen Objekte angezeigt.
Blendet die Liste der betroffenen Objekte im Vorschaufenster ein.

Um eine Vorschau der betroffenen Objekte anzuzeigen

  1. Klicken Sie im Regeleditor an der Bedingung oder einer Teilbedingung .
  2. Um die Liste der betroffenen Objekte anzuzeigen, klicken Sie im Vorschaufenster .

Festlegen der betroffenen Personengruppe

Festlegen der betroffenen Personengruppe

Jede Regeln muss genau einen Regelblock enthalten, der die Personengruppe festlegt.

Abbildung 3: Regelblock für die betroffene Personengruppe

Die betroffene Personengruppe grenzen Sie über folgende Optionen ein.

  • Von allen Mitarbeitern

    Alle Personen werden berücksichtigt.

  • Nur von Mitarbeitern, die alle/mindestens eine der folgenden Bedingungen erfüllen

    Die Personengruppe wird durch eine Bedingung eingeschränkt, beispielsweise "Alle Personen der Abteilung A" oder "Alle externen Personen". Um die betroffene Personengruppe zu ermitteln, formulieren Sie entsprechende Teilbedingungen.

    Für die Einschränkung der betroffenen Personengruppe legen Sie in der ersten Auswahlliste einer Teilbedingung den Bedingungstyp fest.

    Tabelle 27: Zulässige Bedingungstypen im Regeleditor
    Bedingungstyp Bedeutung
    Eigenschaft Eigenschaften der Personen. Die Auswahlliste der zulässigen Eigenschaften ist bereits auf die wichtigsten Eigenschaften einer Person eingeschränkt.
    Für das Benutzerkonto mit dem Zielsystemtyp Eigenschaften der Benutzerkonten der Personen mit dem gewählten Zielsystemtyp.
    SQL Abfrage Eingabe einer SQL Bedingung (Where-Klausel).
  • Eine einzelne Identität
    Tabelle 28: Ergebnis der Regelprüfung
    Die Regel ist ... Bedingung
    verletzt Eine Subidentität oder die Hauptidentität einer Person erfüllt die Regelbedingung.
    nicht verletzt Die Hauptidentität erfüllt die Regelbedingung nur aufgrund ihrer Subidentitäten.
  • Die Kombination aller Identitäten

    Die Regel ist verletzt, wenn

    • eine Subidentität oder die Hauptidentität einer Person die Regelbedingung erfüllt

      - ODER -

    • die Hauptidentität die Regelbedingung nur aufgrund ihrer Subidentitäten erfüllt.
Verwandte Themen

Festlegen der betroffenen Berechtigungen

Festlegen der betroffenen Berechtigungen

Um Zuweisungen in der Regel zu beachten, müssen Sie mindestens einen Regelblock definieren, der die betroffenen Berechtigungen für die Personengruppe ermittelt. Jeder Regelblock kann mehrere Teilbedingung enthalten. Die Teilbedingungen werden über die Optionen alle oder mindestens eine verknüpft.

Abbildung 4: Regelblock für die betroffenen Berechtigungen

Die betroffenen Berechtigungen grenzen Sie über folgende Optionen ein.

  • Mindestens eine Berechtigung

    Pro Regelblock definieren Sie eine Berechtigung.

    Tabelle 29: Festlegen der betroffenen Berechtigungen

    Typ

    Teilbedingung

    Beschreibung

    <Zielsystemtypen>

    (Systemberechtigungen)

    (<Gruppen>)

    Eigenschaften

    Eigenschaften der Systemberechtigungen aus dem gewählten Zielsystem, beispielsweise „Definierter Name“ oder „Container“.

    Berechtigungselemente

    Berechtigungselemente, die für dieses Zielsystem definiert sind.

    Hinweis: Berechtigungselemente werden nur für kundendefinierte Zielsysteme erstellt.

    Hat Zusatzeigenschaft

    Zusatzeigenschaften, die den Systemberechtigungen zugewiesen sind.

    Hat Zusatzeigenschaft mit Wertebereich

    Zusatzeigenschaften, die den Systemberechtigungen zugewiesen sind und für die ein Wertebereich festgelegt ist. In der Regel wird auf einen konkreten Wert geprüft.

    Ressourcen

    Applikationen

    Eigenschaften

    Eigenschaften der Ressourcen/Applikationen, wie beispielsweise "Applikationsname" oder "Ressourcentyp".

    Mitgliedschaften

    Mitgliedschaften der Ressourcen/Applikationen in hierarchischen Rollen und IT Shop-Strukturen.

    Kontendefinitionen

    Eigenschaften

    Eigenschaften der Kontendefinitionen, wie beispielsweise "Ressourcentyp".

    Systemrollen

    Eigenschaften

    Eigenschaften der Systemrollen, wie beispielsweise "Anzeigename".

    Mitgliedschaften

    Mitgliedschaften der Systemrollen in hierarchischen Rollen und Zuweisungen zu Personen oder Arbeitsplätzen.

    Die Regeln können für alle im Unified Namespace abgebildeten Systemberechtigungen erstellt werden. Dabei wird in den Regelbedingungen auf die Datenbanksichten des Unified Namespace zugegriffen. Als Typ der Berechtigung können die Zielsystemtypen ausgewählt werden.

  • Mindestens eine Rolle oder Organisationszuordnung

    Pro Regelblock definieren Sie die Mitgliedschaft in einer hierarchischen Rolle (One Identity Manager Anwendungsrollen, Abteilungen, Standorte, Kostenstellen, Geschäftsrollen).

    Tabelle 30: Festlegen der betroffenen Rollenmitgliedschaft

    Typ

    Teilbedingung

    Beschreibung

    Anwendungsrollen

    Abteilungen

    Standorte

    Geschäftsrollen

    Kostenstellen

    Eigenschaften

    Eigenschaften der Rollen, wie beispielsweise "Vollständiger Name" oder "Übergeordnete Rolle".

    Zuordnungen in anderen Objekten

    Zuordnungen der Rolle zu anderen Objekten, beispielsweise als primäre Abteilung verschiedener Personen.

    Mitgliedschaften

    Mitgliedschaften von Unternehmensressourcen in den Rollen, wie beispielsweise DepartmentHasADSGroup.

  • mindestens eine Funktion

    Geben Sie mindestens eine SAP Funktion an, durch welche die Regel verletzt wird.

    Hinweis: Diese Option kann nur ausgewählt werden, wenn das Modul Modul SAP R/3 Compliance Add-on vorhanden ist.
  • Anzahl der Berechtigungen

    Pro Regelblock legen Sie die Anzahl der Berechtigungen fest, die eine Person besitzen muss, damit die Regel verletzt ist.

    Standardmäßig wird eine Regelverletzung erkannt, wenn einer Person der betroffenen Personengruppe mindestens ein Objekt zugewiesen ist, das die Bedingung des Regelblocks erfüllt. Sie können diese Anzahl erhöhen. Der Wert "0" ist nicht zulässig.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating