Für Zuweisungsbestellungen und Delegierungen werden spezielle Ressourcen eingesetzt, sogenannte Zuweisungsressourcen. Die Zuweisungsressourcen werden mit Leistungspositionen verknüpft und können so im IT Shop als Produkte bereitgestellt werden.
Der One Identity Manager stellt Standardprodukte für Zuweisungsbestellungen und Delegierungen bereit. Diese werden genutzt, um
Zuweisungsressource | Leistungsposition | Shop | Regal | Bestellen von |
---|---|---|---|
Mitgliedschaft in Rollen | Mitgliedschaft in Rollen | Identity & Access Lifecycle | Identity Lifecycle | Mitgliedschaften in Geschäftsrollen und Organisationen |
Zuweisungen an Rollen | Zuweisungen an Rollen | Zuweisungen von Unternehmensressourcen an Geschäftsrollen und Organisationen | |
Delegierung | Delegierung | Delegierungen |
In der Standardinstallation sind alle aktiven Personen der One Identity Manager Datenbank Kunden des Shops "Identity & Access Lifecycle". Damit können alle aktiven Personen Mitgliedschaften und Zuweisungen bestellen oder Rollen delegieren. Die Zuweisungsbestellungen und Delegierungen werden per Selbstbedienung automatisch genehmigt.
Die Standardprodukte für Zuweisungsbestellungen und Delegierungen können Sie auch in einen eigenen IT Shop aufnehmen.
Zuweisungen können nur von den und für die Kunden dieses Shops bestellt werden. Das heißt, sowohl die Manager der hierarchischen Rollen als auch die Personen, die Mitglied dieser Rollen werden sollen, müssen Kunden im Shop sein. Gleiches gilt für Delegierungen.
|
Hinweis: Zuweisungsbestellungen können auch für kundenspezifische Zuordnungstabellen (M:N Tabellen) vorgenommen werden, wenn diese eine Spalte XOrigin haben. Die Eigenschaften dieser Spalte müssen der Spaltendefinition für XOrigin-Spalten im One Identity Manager-Datenmodell entsprechen. |
Clara Harris ist Projektleiterin des Projekts X. Damit alle Mitarbeiter des Projekts mit den notwendigen Berechtigungen versorgt werden, wird im Manager eine Geschäftsrolle "Projekt X" angelegt. Clara Harris wird dieser Geschäftsrolle als Manager zugeordnet. Alle Projektmitarbeiter haben ein Benutzerkonto in der Active Directory Domäne "Domain P".
Als Managerin kann Clara Harris im Web Portal Mitgliedschaften für die Geschäftsrolle "Projekt X" bestellen. Clara Harris bestellt Mitgliedschaften für sich selbst und alle Projektmitarbeiter.
Des Weiteren möchte Clara Harris, dass alle Projektmitarbeiter ihre Berechtigungen im Active Directory über die Active Directory Gruppe "Projekt X AD-Berechtigungen" der Domäne "Domain P" erhalten. Dafür bestellt sie im Web Portal für die Geschäftsrolle "Projekt X" die Berechtigung "Projekt X AD-Berechtigungen".
Über interne Vererbungsvorgänge werden die Benutzerkonten aller Projektmitarbeiter Mitglied in der Active Directory Gruppe "Projekt X AD-Berechtigungen".
Installierte Module: | Geschäftsrollenmodul |
Es ist möglich, Zuweisungsbestellungen auf einzelne Geschäftsrollen einzuschränken. Dafür wird eine Zuweisungsressource für eine konkrete, bestellbare Geschäftsrolle erstellt. Bei der Bestellung der Zuweisungsressource wird die Geschäftsrolle automatisch Bestandteil der Bestellung.
Darüber hinaus ist es möglich, für jede derart bestellbare Geschäftsrolle ein eigenes Genehmigungsverfahren zu definieren. Dafür werden den Leistungspositionen, die mit den Zuweisungsressourcen verbunden sind, separate Entscheidungsrichtlinien zugeordnet.
Um Zuweisungsbestellungen auf eine einzelne Geschäftsrolle einzuschränken
Es wird ein Assistent gestartet, der Sie durch das Anlegen der Zuweisungsressource führt.
Es wird eine neue Zuweisungsressource mit den benutzerdefinierten Eigenschaften
Tabelle = "ORG" und Pfad = "<UID der Geschäftsrolle>" angelegt.
Ordnen Sie eine Servicekategorie zu, damit die Zuweisungsressource im Web Portal über die Servicekategorie bestellt werden kann.
Es wird eine neue Leistungsposition angelegt und mit der Zuweisungsressource verbunden.
Die Zuweisungsressource kann im Web Portal wie eine beliebige andere Unternehmensressource bestellt werden. Nach erfolgreicher Zuweisung der Bestellung wird die Person, für die die Zuweisungsressource bestellt wurde, über interne Vererbungsvorgänge Mitglied der zugehörigen Geschäftsrolle.
Zuweisungsbestellungen mit den Standardprodukten werden per Selbstbedienung automatisch genehmigt. Wenn die Zuweisungsbestellungen durch verantwortliche Entscheider genehmigt werden sollen, weisen Sie den Standard-Zuweisungsressourcen geeignete Entscheidungsrichtlinien zu. Damit durchlaufen auch die Zuweisungsbestellungen ein definiertes Genehmigungsverfahren.
Um Zuweisungsbestellungen durch verantwortliche Entscheider zu genehmigen
- ODER -
Mitunter sollen Zuweisungsbestellungen, abhängig vom bestellten Objekt, verschiedene Genehmigungsverfahren durchlaufen. Beispielsweise sollen Zuweisungen an Abteilungen durch den Manager der Abteilung, Mitgliedschaften in Abteilungen jedoch durch den Manager der Person genehmigt werden. Dafür können Sie eigene Zuweisungsressourcen definieren. Diese Zuweisungsressourcen können Sie an beliebige Regale in ihrem IT Shop zuweisen.
|
Hinweis: Um diese Zuweisungsressourcen zu nutzen, sind weitere Anpassungen in der Web Designer Konfiguration notwendig. |
Um Zuweisungsbestellungen unternehmensspezifisch zu konfigurieren:
Klicken Sie in der Ergebnisliste .
Konfigurationsparameter | Bedeutung |
---|---|
QER\ITShop\Delegation | Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile zur Delegierung von Rollenmitgliedschaften. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren. Ist der Parameter aktiviert, sind die Bestandteile zur Delegierung verfügbar. |
Eine spezielle Form der Zuweisungsbestellung ist die Delegierung. Dabei kann eine Person eine Rollenzuordnung oder Verantwortung zeitweilig an andere Personen abgeben.
Um Delegierungen im One Identity Manager durchführen zu können
Auch Delegierungen durchlaufen ein definiertes Genehmigungsverfahren. Für Delegierungen benötigen Sie eine separate Zuweisungsressource "Delegierung". Diese ist in der Standardinstallation bereits als Produkt im Shop "Identity Lifecycle", im Regal "Identity Lifecycle" vorhanden.
In der Standardinstallation sind die folgenden Objekte delegierbar.
Mitgliedschaften in: | Geschäftsrollen
Anwendungsrollen |
Verantwortlichkeiten für: | Abteilungen
Kostenstellen Standorte Geschäftsrollen Personen IT Shop Strukturen (Eigentümer) |
|
TIPP: Für welche Geschäftsrollen Mitgliedschaften delegierbar sind, legen Sie an den zugehörigen Rollenklassen fest. Diese Möglichkeit steht Ihnen zur Verfügung, wenn das Geschäftsrollenmodul installiert ist. |
Eine Delegierung wird nur wirksam, wenn die delegierte Mitgliedschaft oder Verantwortlichkeit nicht bereits besteht.
Beispiel:
Jenny Basset ist Mitglied der Geschäftsrolle "Projekt X". Sie delegiert diese Mitgliedschaft an Jan Bloggs. Jan Bloggs ist ebenfalls Mitglied dieser Geschäftsrolle. Die Delegierung wird gespeichert, sie ist jedoch nicht wirksam. Sobald Jan Bloggs seine Mitgliedschaft in der Geschäftsrolle verliert, wird die Delegierung wirksam. Jan Bloggs bleibt dadurch Mitglied in der Geschäftsrolle. Sobald die Delegierung abbestellt wird, wird Jan Bloggs aus der Geschäftsrolle entfernt.
Um Delegierungen für eine Rollenklasse zuzulassen
Um Rollen oder Verantwortungen zu delegieren, nutzen Sie das Web Portal.
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy