Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Complianceregeln

Complianceregeln und Identity Audit
One Identity Manager Benutzer für das Identity Audit Basisdaten für die Regelerstellung Einrichten eines Regelwerkes Regelprüfung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Risikomindernde Maßnahmen Konfigurationsparameter für das Identity Audit

Beispiele für einfache Regeln

Die folgenden Beispiele zeigen, wie Regeln mit Hilfe des Regeleditors erstellt werden und welche Auswirkungen die einzelnen Optionen haben.

Beispiel 1

Personen der Abteilung A dürfen nicht gleichzeitig der Abteilung B angehören.

Definiert werden:

  1. Die Option von allen Mitarbeitern und die Kombination aller Identitäten im Regelblock für die betroffene Personengruppe,
  2. zwei Regelblöcke für die betroffenen Berechtigungen mit der Option mindestens eine Rolle oder Organisationszuordnung.

Abbildung 5: Regelbedingung für Beispiel 1

Beispiel 2

Personen, die der Abteilung Vertrieb oder der Abteilung Einkauf angehören, dürfen nicht auf die Active Directory Gruppe „Development“ zugreifen. Diese Regel soll nur für Personen geprüft werden, die aktiviert sind.

Definiert werden:

  1. die Optionen nur von Mitarbeitern, alle und eine einzelne Identität im Regelblock für die betroffene Personengruppe,
  2. zwei Regelblöcke für die betroffenen Berechtigungen
    1. mit der Option mindestens eine Rolle oder Organisationszuordnung und
    2. mit der Option mindestens eine Berechtigung.

Abbildung 6: Regelbedingung für Beispiel 2

Beispiel 3

Alle zulässigen Berechtigungen werden über Systemrollen an die Personen zugewiesen. Eine Person darf maximal zwei Systemrolle besitzen. Wenn eine Person mehrere Identitäten besitzt, dann ist die Regel auch dann verletzt, wenn die Berechtigungen aller Subidentitäten zusammen zu einer Regelverletzung führen.

Es gibt drei Systemrollen: Paket für Abteilung Finanzen, Paket für Abteilung Einkauf, Paket für Abteilung Vertrieb

Jenny Basset hat zwei Subidentitäten. Der Hauptidentität und den beiden Subidentitäten sind jeweils eine Systemrolle zugewiesen.

Jenny Basset (HI): Paket für Abteilung Finanzen

Jenny Basset (SI1): Paket für Abteilung Einkauf

Jenny Basset (SI2): Paket für Abteilung Vertrieb

Definiert werden:

  1. die Option von allen Mitarbeitern und die Kombination aller Identitäten im Regelblock für die betroffene Personengruppe
  2. ein Regelblock für die betroffenen Berechtigungen mit der Option mindestens eine Berechtigung vom Typ Systemrollen die alle der folgenden Teilbedingungen erfüllt
  3. eine Teilbedingung: Anzeigename enthält "Paket für"
  4. Die Anzahl der dem Mitarbeiter zugewiesenen Berechtigungen ist größer oder gleich 3.

Da die Hauptidentität von Jenny Basset aufgrund ihrer Subidentitäten alle drei Systemrollen besitzt, verletzt die Hauptidentität (und nur diese) die Regel.

Die Regelprüfung ermittelt das selbe Ergebnis, wenn die Regel folgendermaßen formuliert ist.

Regelbedingungen im erweiterten Modus

Regelbedingungen im erweiterten Modus

Tabelle 31: Konfigurationsparameter für die Eingabe erweiterter Regelbedingungen
Konfigurationsparameter Bedeutung bei Aktivierung
QER\ComplianceCheck\SimpleMode\NonSimpleAllowed Regeln können im erweiterten Modus erstellt werden.

Es gibt zwei Möglichkeiten Regelbedingungen zu definieren, die vereinfachte Definition und den erweiterten Modus. Die vereinfachte Definition mit dem Regeleditor wird standardmäßig zum Erstellen von Regelbedingungen genutzt. Weitere Informationen finden Sie unter Grundlagen zum Umgang mit dem Regeleditor.

Im erweiterten Modus werden in der Regelbedingung die Eigenschaften von Personen definiert, die zu einer Regelverletzung führen. Die Zuweisungen werden direkt über die jeweiligen Tabellen ermittelt, in denen die ausgewählten Objekte abgebildet sind (beispielsweise PersonHasSAPGroup oder Person).

Um den erweiterten Modus zu nutzen

  1. Aktivieren Sie im Designer den Konfigurationsparameter "QER\ComplianceCheck\SimpleMode\NonSimpleAllowed“.

    Auf dem Stammdatenformular einer Regel werden zusätzlich die Optionen Regel für zyklische Prüfung und Risikobewertung im IT Shop und Regel nur für zyklische Prüfung angezeigt.

  2. Aktivieren Sie die Option Regel nur für zyklische Prüfung.
  3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

    Die Regelbedingung wird in verändertem Design dargestellt.

Hinweis: Nach der Eingabe einer Regelbedingung im erweiterten Modus können Sie nicht mehr zur vereinfachten Definition wechseln!

Hinweis: Regeln im erweiterten Modus werden bei Regelprüfungen innerhalb von Genehmigungsverfahren für IT Shop-Bestellungen nicht berücksichtigt. Für diese Regeln können keine IT Shop Eigenschaften festgelegt werden. Der Tabreiter IT Shop Eigenschaften wird auf dem Stammdatenformular dieser Regeln nicht angezeigt.

Abbildung 7: Bedingung im erweiterten Modus

Die Regelbedingungen im erweiterten Modus beziehen sich auf das Basisobjekt "Personen" (Tabelle Person). Die komplette Datenbankabfrage wird intern zusammengesetzt:

Select Firstname, Lastname from Person where <Regelbedingung> order by 1,2

Im erweiterten Modus legen Sie zunächst fest, ob eine oder alle der nachfolgend definierten Bedingungen erfüllt werden müssen. In der ersten Auswahlliste einer Bedingung legen Sie den Bedingungstyp fest.

Tabelle 32: Zulässige Bedingungstypen im erweiterten Modus
Bedingungstyp Bedeutung
Eigenschaft Eigenschaften der Personenobjekte. Die Auswahlliste der zulässigen Eigenschaften ist bereits auf die wichtigsten Eigenschaften einer Person eingeschränkt.
Für das Konto mit dem Zielsystemtyp Benutzerkonto der Person. Die zulässigen Benutzerkonto-Eigenschaften richten sich nach der Auswahl des Zielsystems.
Für die Berechtigung mit dem Zielsystemtyp Zielsystemgruppe der Person. Die zulässigen Gruppeneigenschaften richten sich nach der Auswahl des Zielsystems.
SQL Abfrage Freie Eingabe einer SQL-Bedingung (Where-Klausel). Um den Where-Klausel Assistent zu nutzen, klicken Sie .

Sie haben die Möglichkeit mehrere Bedingungen zu verknüpfen. Hierbei wird nur die Und-Verknüpfung unterstützt.

Alle weiteren Steuerelemente sind Operatoren und Eigenschaften, die Sie zur Formulierung der Bedingung benötigen. In einfachen Auswahllisten können Sie nur einen Eintrag auswählen. In erweiterten Auswahllisten mit einer hierarchischen Darstellung der Eigenschaften können Sie mehrere Einträge auswählen, die über eine Oder-Verknüpfung in die Bedingung eingebunden werden. Über Eingabefelder ist die freie Eingabe von Text zulässig. Die verfügbaren Auswahllisten und Eingabefelder werden dynamisch eingeblendet.

Regelbedingung als SQL-Abfrage

Regelbedingung als SQL-Abfrage

Tabelle 33: Konfigurationsparameter für die Eingabe erweiterter Regelbedingungen
Konfigurationsparameter Bedeutung bei Aktivierung
QER\ComplianceCheck\PlainSQL Die Bearbeitung des SQL-Textes ist für Regeln im erweiterten Modus zulässig.

Regelbedingungen im erweiterten Modus können auch direkt als SQL-Abfrage formuliert werden.

Um eine Regelbedingung direkt als SQL-Abfrage zu formulieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter "QER\ComplianceCheck\PlainSQL".
  2. Wählen Sie die Option Regel nur für zyklische Prüfung.
  3. Wählen Sie die Aufgabe SQL Definition aktivieren an der Arbeitskopie.

Hinweis: Wenn der Konfigurationsparameter "QER\ComplianceCheck\SimpleMode" deaktiviert ist und der Konfigurationsparameter "QER\ComplianceCheck\PlainSQL" aktiviert ist, können Regelbedingungen nur über eine SQL-Abfrage formuliert werden.

Abbildung 8: Direkte Eingabe der SQL-Abfrage

Regeln löschen

Regeln löschen

Wichtig: Wenn Sie eine Regel löschen, werden alle Informationen über die Regelbedingung und die Regelverletzungen unwiderruflich gelöscht! Die Informationen können zu einem späteren Zeitpunkt nicht wiederhergestellt werden.

Erstellen Sie vor dem Löschen einen Bericht über die Regel und ihre aktuellen Regelverletzungen, wenn Sie die Informationen (beispielsweise zur Revisionssicherheit) aufbewahren wollen.

Eine Regel kann gelöscht werden, wenn keine Regelverletzungen für die Regel vorhanden sind.

Um eine Regel zu löschen:

  1. Wählen Sie die Kategorie Identity Audit | Regeln.
  2. Wählen Sie in der Ergebnisliste die zu löschende Regel.
  3. Wählen Sie die Aufgabe Regel deaktivieren.

    Vorhandene Regelverletzungen werden durch den DBQueue Prozessor entfernt.

  4. Nachdem der DBQueue Prozessor die Regelverletzungen für die Regel neu berechnet hat, klicken Sie in den Symbolleisten .

    Die Regel, das zugehörige Objekt für Regelverletzungen und die zugehörige Arbeitskopie werden gelöscht.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating