Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Erfassen von Leistungspositionen Erfassen von Servicekategorien Erfassen produktspezifischer Bestelleigenschaften Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Erfassen von Nutzungsbedingungen Erfassen von Schlagworten
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellung und Delegierung Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Gruppen automatisch in den IT Shop aufnehmen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien bearbeiten Entscheidungsworkflows Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Genehmigung von Bestellungen eines Entscheiders Automatische Entscheidung von Bestellungen Einholen weiterer Informationen zur Bestellung durch einen Entscheider Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen Bestellvorlagen
Standardlösungen für die Bestellung von Systemberechtigungen Fehlerbehebung Anhang: Konfigurationsparameter für IT Shop Anhang: Status von Bestellungen Anhang: Beispiele für das Ergebnis von Bestellungen

Standardprodukte für Zuweisungsbestellungen und Delegierungen

Standardprodukte für Zuweisungsbestellungen und Delegierungen

Für Zuweisungsbestellungen und Delegierungen werden spezielle Ressourcen eingesetzt, sogenannte Zuweisungsressourcen. Die Zuweisungsressourcen werden mit Leistungspositionen verknüpft und können so im IT Shop als Produkte bereitgestellt werden.

Der One Identity Manager stellt Standardprodukte für Zuweisungsbestellungen und Delegierungen bereit. Diese werden genutzt, um

  • Mitgliedschaften in Geschäftsrollen oder Organisationen zu bestellen, für die der angemeldete One Identity Manager Benutzer verantwortlich ist.
  • Zuweisungen von Systemberechtigungen oder anderen Unternehmensressourcen an Geschäftsrollen oder Organisationen zu bestellen, für die der angemeldete One Identity Manager Benutzer verantwortlich ist.
  • Verantwortlichkeiten oder Mitgliedschaften in hierarchischen Rollen zu delegieren.
Tabelle 23: Standardprodukte für Zuweisungsbestellungen und Delegierungen
Zuweisungsressource Leistungsposition Shop | Regal Bestellen von
Mitgliedschaft in Rollen Mitgliedschaft in Rollen Identity & Access Lifecycle | Identity Lifecycle Mitgliedschaften in Geschäftsrollen und Organisationen
Zuweisungen an Rollen Zuweisungen an Rollen Zuweisungen von Unternehmensressourcen an Geschäftsrollen und Organisationen
Delegierung Delegierung Delegierungen

In der Standardinstallation sind alle aktiven Personen der One Identity Manager Datenbank Kunden des Shops "Identity & Access Lifecycle". Damit können alle aktiven Personen Mitgliedschaften und Zuweisungen bestellen oder Rollen delegieren. Die Zuweisungsbestellungen und Delegierungen werden per Selbstbedienung automatisch genehmigt.

Die Standardprodukte für Zuweisungsbestellungen und Delegierungen können Sie auch in einen eigenen IT Shop aufnehmen.

Zuweisungen können nur von den und für die Kunden dieses Shops bestellt werden. Das heißt, sowohl die Manager der hierarchischen Rollen als auch die Personen, die Mitglied dieser Rollen werden sollen, müssen Kunden im Shop sein. Gleiches gilt für Delegierungen.

 Hinweis: Zuweisungsbestellungen können auch für kundenspezifische Zuordnungstabellen (M:N Tabellen) vorgenommen werden, wenn diese eine Spalte XOrigin haben. Die Eigenschaften dieser Spalte müssen der Spaltendefinition für XOrigin-Spalten im One Identity Manager-Datenmodell entsprechen.
Beispiel für eine Zuweisungsbestellung

Clara Harris ist Projektleiterin des Projekts X. Damit alle Mitarbeiter des Projekts mit den notwendigen Berechtigungen versorgt werden, wird im Manager eine Geschäftsrolle "Projekt X" angelegt. Clara Harris wird dieser Geschäftsrolle als Manager zugeordnet. Alle Projektmitarbeiter haben ein Benutzerkonto in der Active Directory Domäne "Domain P".

Als Managerin kann Clara Harris im Web Portal Mitgliedschaften für die Geschäftsrolle "Projekt X" bestellen. Clara Harris bestellt Mitgliedschaften für sich selbst und alle Projektmitarbeiter.

Des Weiteren möchte Clara Harris, dass alle Projektmitarbeiter ihre Berechtigungen im Active Directory über die Active Directory Gruppe "Projekt X AD-Berechtigungen" der Domäne "Domain P" erhalten. Dafür bestellt sie im Web Portal für die Geschäftsrolle "Projekt X" die Berechtigung "Projekt X AD-Berechtigungen".

Über interne Vererbungsvorgänge werden die Benutzerkonten aller Projektmitarbeiter Mitglied in der Active Directory Gruppe "Projekt X AD-Berechtigungen".

Detaillierte Informationen zum Thema
Verwandte Themen

Bestellen einzelner Geschäftsrollen

Bestellen einzelner Geschäftsrollen

Installierte Module: Geschäftsrollenmodul

Es ist möglich, Zuweisungsbestellungen auf einzelne Geschäftsrollen einzuschränken. Dafür wird eine Zuweisungsressource für eine konkrete, bestellbare Geschäftsrolle erstellt. Bei der Bestellung der Zuweisungsressource wird die Geschäftsrolle automatisch Bestandteil der Bestellung.

Darüber hinaus ist es möglich, für jede derart bestellbare Geschäftsrolle ein eigenes Genehmigungsverfahren zu definieren. Dafür werden den Leistungspositionen, die mit den Zuweisungsressourcen verbunden sind, separate Entscheidungsrichtlinien zugeordnet.

Um Zuweisungsbestellungen auf eine einzelne Geschäftsrolle einzuschränken

  1. Wählen Sie die Kategorie Geschäftsrollen | <Rollenklasse>.
  2. Wählen Sie in der Ergebnisliste die Geschäftsrolle.
  3. Wählen Sie die Aufgabe Zuweisungsressource erzeugen....

    Es wird ein Assistent gestartet, der Sie durch das Anlegen der Zuweisungsressource führt.

    1. Erfassen Sie eine Beschreibung und ordnen Sie einen Ressourcentyp zu.

      Es wird eine neue Zuweisungsressource mit den benutzerdefinierten Eigenschaften

      Tabelle = "ORG" und Pfad = "<UID der Geschäftsrolle>" angelegt.

    2. Erfassen Sie die Eigenschaften der Leistungsposition, die der Zuweisungsressource zugeordnet wird.

      Ordnen Sie eine Servicekategorie zu, damit die Zuweisungsressource im Web Portal über die Servicekategorie bestellt werden kann.

      Es wird eine neue Leistungsposition angelegt und mit der Zuweisungsressource verbunden.

  4. Weisen Sie die Zuweisungsressource einem IT Shop Regal als Produkt zu.
  5. Weisen Sie dem Regal oder der Leistungsposition der Zuweisungsressource eine Entscheidungsrichtlinie zu.
  6. Bei Bedarf können Sie die Stammdaten der Zuweisungsressource nachbearbeiten.
  7. Bei Bedarf können Sie die Stammdaten der Leistungsposition nachbearbeiten.

Die Zuweisungsressource kann im Web Portal wie eine beliebige andere Unternehmensressource bestellt werden. Nach erfolgreicher Zuweisung der Bestellung wird die Person, für die die Zuweisungsressource bestellt wurde, über interne Vererbungsvorgänge Mitglied der zugehörigen Geschäftsrolle.

Verwandte Themen

Zuweisungsbestellungen unternehmensspezifisch anpassen

Zuweisungsbestellungen unternehmensspezifisch anpassen

Zuweisungsbestellungen mit den Standardprodukten werden per Selbstbedienung automatisch genehmigt. Wenn die Zuweisungsbestellungen durch verantwortliche Entscheider genehmigt werden sollen, weisen Sie den Standard-Zuweisungsressourcen geeignete Entscheidungsrichtlinien zu. Damit durchlaufen auch die Zuweisungsbestellungen ein definiertes Genehmigungsverfahren.

Um Zuweisungsbestellungen durch verantwortliche Entscheider zu genehmigen

  • Weisen Sie den Leistungspositionen der Standard-Zuweisungsressourcen separate Entscheidungsrichtlinien zu.

    - ODER -

  • Weisen Sie dem Regal "Identity Lifecycle" eine beliebige Entscheidungsrichtlinie zu.

Mitunter sollen Zuweisungsbestellungen, abhängig vom bestellten Objekt, verschiedene Genehmigungsverfahren durchlaufen. Beispielsweise sollen Zuweisungen an Abteilungen durch den Manager der Abteilung, Mitgliedschaften in Abteilungen jedoch durch den Manager der Person genehmigt werden. Dafür können Sie eigene Zuweisungsressourcen definieren. Diese Zuweisungsressourcen können Sie an beliebige Regale in ihrem IT Shop zuweisen.

Hinweis: Um diese Zuweisungsressourcen zu nutzen, sind weitere Anpassungen in der Web Designer Konfiguration notwendig.

Um Zuweisungsbestellungen unternehmensspezifisch zu konfigurieren:

  1. Erstellen Sie eine neue Zuweisungsressource.
    1. Wählen Sie die Kategorie Berechtigungen | Zuweisungsressourcen für IT Shop.

    2. Klicken Sie in der Ergebnisliste .

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
    4. Erfassen Sie die Bezeichnung der Zuweisungsressource.
    5. Ordnen Sie eine neue Leistungsposition zu.
    6. Speichern Sie die Änderungen.
  2. Weisen Sie die Zuweisungsressource einem IT Shop Regal als Produkt zu.
    1. Wählen Sie die Aufgabe In IT Shop aufnehmen.
    2. Weisen Sie im Bereich Zuordnungen hinzufügen ein Regal zu.
    3. Speichern Sie die Änderungen.
  3. Weisen Sie dem Regal oder der Leistungsposition der Zuweisungsressource eine Entscheidungsrichtlinie zu.
  4. Konfigurieren Sie im Web Designer die Nutzung der Zuweisungsressource.
Detaillierte Informationen zum Thema
Verwandte Themen

Delegierungen vorbereiten

Delegierungen vorbereiten

Tabelle 24: Konfigurationsparameter für Delegierung
Konfigurationsparameter Bedeutung
QER\ITShop\Delegation Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile zur Delegierung von Rollenmitgliedschaften. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren. Ist der Parameter aktiviert, sind die Bestandteile zur Delegierung verfügbar.

Eine spezielle Form der Zuweisungsbestellung ist die Delegierung. Dabei kann eine Person eine Rollenzuordnung oder Verantwortung zeitweilig an andere Personen abgeben.

Um Delegierungen im One Identity Manager durchführen zu können

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\Delegation".

Auch Delegierungen durchlaufen ein definiertes Genehmigungsverfahren. Für Delegierungen benötigen Sie eine separate Zuweisungsressource "Delegierung". Diese ist in der Standardinstallation bereits als Produkt im Shop "Identity Lifecycle", im Regal "Identity Lifecycle" vorhanden.

In der Standardinstallation sind die folgenden Objekte delegierbar.

Mitgliedschaften in: Geschäftsrollen

Anwendungsrollen

Verantwortlichkeiten für: Abteilungen

Kostenstellen

Standorte

Geschäftsrollen

Personen

IT Shop Strukturen (Eigentümer)

 TIPP: Für welche Geschäftsrollen Mitgliedschaften delegierbar sind, legen Sie an den zugehörigen Rollenklassen fest. Diese Möglichkeit steht Ihnen zur Verfügung, wenn das Geschäftsrollenmodul installiert ist.

Eine Delegierung wird nur wirksam, wenn die delegierte Mitgliedschaft oder Verantwortlichkeit nicht bereits besteht.

Beispiel:

Jenny Basset ist Mitglied der Geschäftsrolle "Projekt X". Sie delegiert diese Mitgliedschaft an Jan Bloggs. Jan Bloggs ist ebenfalls Mitglied dieser Geschäftsrolle. Die Delegierung wird gespeichert, sie ist jedoch nicht wirksam. Sobald Jan Bloggs seine Mitgliedschaft in der Geschäftsrolle verliert, wird die Delegierung wirksam. Jan Bloggs bleibt dadurch Mitglied in der Geschäftsrolle. Sobald die Delegierung abbestellt wird, wird Jan Bloggs aus der Geschäftsrolle entfernt.

Um Delegierungen für eine Rollenklasse zuzulassen

  1. Wählen Sie die Kategorie Geschäftsrollen | Basisdaten zur Konfiguration | Rollenklassen.
  2. Wählen Sie in der Ergebnisliste die Rollenklasse.
  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  4. Aktivieren Sie Delegierbar.
  5. Speichern Sie die Änderungen.

Um Rollen oder Verantwortungen zu delegieren, nutzen Sie das Web Portal.

Detaillierte Informationen zum Thema
  • One Identity Manager Administrationshandbuch für Geschäftsrollen
  • One Identity Manager Anwenderhandbuch für das Web Portal
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating