Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Erfassen von Leistungspositionen Erfassen von Servicekategorien Erfassen produktspezifischer Bestelleigenschaften Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Erfassen von Nutzungsbedingungen Erfassen von Schlagworten
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellung und Delegierung Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Gruppen automatisch in den IT Shop aufnehmen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien bearbeiten Entscheidungsworkflows Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Genehmigung von Bestellungen eines Entscheiders Automatische Entscheidung von Bestellungen Einholen weiterer Informationen zur Bestellung durch einen Entscheider Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen Bestellvorlagen
Standardlösungen für die Bestellung von Systemberechtigungen Fehlerbehebung Anhang: Konfigurationsparameter für IT Shop Anhang: Status von Bestellungen Anhang: Beispiele für das Ergebnis von Bestellungen

Risikobewertung einer Bestellung

Risikobewertung einer Bestellung

Jede Person in einem Unternehmen, die über Berechtigungen in einem IT-System verfügt, birgt für das Unternehmen ein Sicherheitsrisiko. Beispielsweise trägt eine Person, die berechtigt ist, Finanzdaten im SAP System zu bearbeiten, ein höheres Risiko, als eine Person, die die eigenen Personenstammdaten bearbeiten darf. Um dieses Risiko zu bewerten, können Sie mit dem One Identity Manager für jede Unternehmensressource einen Risikowert erfassen. Für jede Person, der diese Unternehmensressourcen direkt oder indirekt zugewiesen sind, wird aus diesen Werten ein Risikoindex berechnet. Unternehmensressourcen umfassen Zielsystemberechtigungen (beispielsweise Active Directory Gruppen oder SAP Profile), abonnierbare Berichte, Applikationen und Ressourcen. Dadurch können alle Personen ermittelt werden, die im Unternehmen über besonders risikoreiche Unternehmensressourcen verfügen.

Mit jeder Zuweisung einer Unternehmensressource, für die ein Risikoindex festgelegt ist, kann der Risikoindex der Personen ein zulässiges Maß übersteigen. Werden Unternehmensressourcen über den IT Shop bestellt und zugewiesen, kann der Risikoindex der bestellten Unternehmensressource geprüft werden. Ist dieser Risikoindex größer als ein zuvor festgelegter zulässiger Wert, wird die Bestellung abgelehnt.

Um die Risikobewertung von Bestellungen einzurichten

  • Erstellen Sie einen Entscheidungsworkflow.
    1. Fügen Sie einen Entscheidungsschritt mit dem Entscheidungsverfahren "RI" ein.
    2. Erfassen Sie im Eingabefeld Bedingung den Vergleichswert für den Risikoindex. Geben Sie eine Zahl im Wertebereich 0,0 ... 1,0 an.
    3. Fügen Sie bei Bedarf weitere Entscheidungsebenen hinzu.

Der Entscheidungsschritt wird durch den One Identity Manager genehmigt, wenn der Risikoindex der bestellten Unternehmensressource kleiner dem Vergleichswert ist. Ist der Risikoindex größer oder gleich dem Vergleichswert, wird der Entscheidungsschritt abgelehnt.

Die Risikobewertung von Bestellungen funktioniert sowohl bei der direkten Bestellung von Unternehmensressourcen als auch bei Zuweisungsbestellungen. Für die Entscheidung werden nur erfasste Risikoindizes zugrunde gelegt; berechnete Risikoindizes bleiben unberücksichtigt. Die Risikobewertung von Bestellungen wirkt daher nur, wenn die Tabelle, aus der das bestellte Produkt stammt, oder eine der Mitgliedertabellen einer bestellten Zuweisung eine Spalte RiskIndex hat. Hat die Tabelle lediglich die Spalte RiskIndexCalculated wird die Bestellung automatisch genehmigt. Haben beide Mitgliedertabellen einer Zuweisungsbestellung eine Spalte RiskIndex, dann wird der größere der beiden Risikoindizes für die Entscheidung zu Grunde gelegt.

Wenn die Bestellung einer Unternehmensressource oder einer Zuweisung genehmigt wurde, wird der Risikoindex der Personen mit dem nächsten Lauf des zeitgesteuerten Berechnungsauftrags neu berechnet.

Ausführliche Informationen zur Risikobewertung finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Verwandte Themen

Prüfen von Bestellungen auf Regelkonformität

Prüfen von Bestellungen auf Regelkonformität

Installierte Module: Modul Complianceregeln

In den Entscheidungsworkflows können Sie die Prüfung der IT Shop Bestellungen auf Regelkonformität integrieren. Dafür wird ein separates Entscheidungsverfahren angeboten. Dieses Entscheidungsverfahren überprüft, ob der Empfänger der Bestellung bei Genehmigung seiner Bestellungen bestehende Complianceregeln verletzen würde. Das Ergebnis der Überprüfung wird im Entscheidungsverlauf der Bestellung und in der Genehmigungshistorie protokolliert.

Tabelle 54: Entscheidungsverfahren für Complianceprüfungen
Entscheidungsverfahren Beschreibung
CR (Compliance Risiko Bewertung)

Überprüfung der aktuellen Bestellung auf mögliche Regelverletzungen. Berücksichtigt das bestellte Produkt und alle bereits zugewiesenen Unternehmensressourcen des Empfängers der Bestellung.

Voraussetzungen für die Prüfung der Bestellungen

Complianceprüfung von Bestellungen

Complianceprüfung von Bestellungen

Um einen Überblick über potentielle Regelverletzungen zu erhalten, können Sie eine vereinfachte Regelprüfung durchführen. Mit dem Entscheidungsverfahren "CR" können Bestellungen vor ihrer endgültigen Entscheidung hinsichtlich möglicher Regelverletzungen überprüft werden.

Bei der Regelprüfung werden folgende Daten des Empfängers einer Bestellung berücksichtigt:

  • alle offenen Bestellungen
  • alle Unternehmensressourcen, die dem Empfänger bereits zugewiesen sind
  • alle Benutzerkonten des Empfängers
  • alle Berechtigungen in Zielsystemen (beispielsweise Active Directory Gruppen oder SAP Rollen), die der Empfänger über diese Benutzerkonten erhalten hat

Für die Regelprüfung werden regelmäßig berechnete Hilfstabellen für Objektzuordnungen ausgewertet. Die Berechnung der Hilfstabellen wird über einen Zeitplan gesteuert. Außerdem berücksichtigt das Entscheidungsverfahren nur solche Complianceregeln, die über die vereinfachte Definition erstellt wurden.

Die Regelprüfung erreicht damit keine vollständige Überprüfung der Bestellungen. Unter folgenden Bedingungen ist es möglich, dass die Regelprüfung eine Regelverletzung nicht erkennt:

  • Die Berechtigungen des Kunden ändern sich, nachdem die Hilfstabellen berechnet wurden.
  • Eine Regel wird nicht durch das bestellte Produkt verletzt, sondern durch ein Objekt, dass über das bestellte Produkt vererbt wird. Die Vererbung wird erst nach der Genehmigung der Bestellung berechnet und kann damit erst nach der nächsten Berechnung der Hilfstabellen erkannt werden.
  • Der Kunde gehört erst durch die Bestellung zur betroffenen Personengruppe einer Regel.
  • Die Regelbedingung wurde im erweiterten Modus oder als SQL-Abfrage erstellt.

TIPP: Eine vollständige Prüfung der Zuweisungen wird mit der zyklischen Prüfung der Complianceregeln über Zeitpläne erreicht. Damit werden alle Regelverletzungen erkannt, die durch die Bestellungen entstanden sind.

Unter folgenden Bedingungen ist es möglich, dass die Regelprüfung eine Regelverletzung erkennt, obwohl keine Regel verletzt wird:

  • Zwei Produkte verletzen eine Regel, wenn sie gleichzeitig zugewiesen sind. Die Bestellungen dieser Produkte sind jedoch zeitlich begrenzt. Der Gültigkeitszeitraum überschneidet sich nicht. Dennoch wird eine potentielle Regelverletzung erkannt.

TIPP: Diese Bestellungen können nach Prüfung per Ausnahmegenehmigung genehmigt werden, sofern die Definition der verletzten Regel es zulässt.

Über die Regelprüfung kann nicht nur festgestellt werden, welche Regel eine Bestellung verletzt. Es kann auch ermittelt werden, welches Produkt der Bestellung die Regelverletzung verursacht. Damit ist eine detaillierte Auswertung der Regelverletzungen möglich. Sofern die Definition der Complianceregeln es zulässt, können Bestellungen, die Regeln verletzen, per Ausnahmegenehmigung dennoch genehmigt werden. Für die Ausnahmegenehmigungen werden zusätzliche Entscheidungsschritte in die Entscheidungsworkflows eingefügt.

Bedingungen für die Regelprüfung von Bestellungen

  • Pro Entscheidungsworkflow können Sie nur einen Entscheidungsschritt mit dem Entscheidungsverfahren "CR" einfügen.
  • Die Regelbedingungen wurden in der vereinfachten Definition erstellt.
  • Bei der Regelprüfung werden die festgelegten IT Shop Eigenschaften der einzelnen Regeln berücksichtigt. Die Erkennung einer Regelverletzung richtet sich nach der Einstellung der Eigenschaft Erkennung einer Regelverletzung.
  • Die Regelprüfung sollte als letzte Entscheidungsebene in den Entscheidungsworkflow aufgenommen werden. Die nachfolgende Entscheidungsebene bei negativer Entscheidung darf nur einen Entscheidungsschritt zur Ermittlung der Ausnahmegenehmiger enthalten.

Ablauf einer Regelprüfung

  1. Wird ein Entscheidungsschritt zur Regelprüfung nach dem Entscheidungsverfahren "CR" erkannt, werden alle Produkte offener Bestellungen dem Kunden zugeordnet. Es wird also angenommen, dass alle offenen Bestellungen genehmigt würden und der Kunde somit die Produkte erhalten würde. Anschließend wird die aktuell verarbeitete Bestellung auf potentielle Verletzungen der definierten Regeln analysiert.
  2. Wird keine Regelverletzung festgestellt, wird der Entscheidungsschritt automatisch positiv entschieden und die Bestellung an die Entscheider der nächsten Entscheidungsebene zur Entscheidung übergeben.
  3. Wird eine Regelverletzung festgestellt, wird der Entscheidungsschritt automatisch negativ entschieden. Sofern die Definition der verletzten Regel es zulässt, kann die Bestellung per Ausnahmegenehmigung dennoch genehmigt werden.
Detaillierte Informationen zum Thema

Ausführliche Informationen zur Complianceprüfung finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.

Erkennung einer Regelverletzung

Tabelle 55: Konfigurationsparameter für IT Shop-relevante Eigenschaften
Konfigurationsparameter Bedeutung bei Aktivierung
QER\ComplianceCheck\EnableITSettingsForRule Die IT Shop Eigenschaften der Complianceregeln werden eingeblendet und können bearbeitet werden.

Wenn der Konfigurationsparameter "QER\ComplianceCheck\EnableITSettingsForRule" aktiviert ist, können an Complianceregeln zusätzliche Eigenschaften erfasst werden, die bei der Regelprüfung von Bestellungen berücksichtigt werden.

Über die IT Shop Eigenschaft Erkennung einer Regelverletzung legen Sie für eine Regel fest, welche Regelverletzungen protokolliert werden.

Tabelle 56: Zulässige Werte
Wert Beschreibung
Neue Regelverletzung durch die Bestellung Es werden nur Regelverletzungen protokolliert, die durch die Genehmigung der aktuellen Bestellung neu hinzukommen würden.
Nicht genehmigte Ausnahmen Es werden Regelverletzungen protokolliert, die durch die Genehmigung der aktuellen Bestellung neu hinzukommen würden. Zusätzlich werden auch bereits bekannte Regelverletzungen protokolliert, für die noch keine genehmigten Ausnahmen vorliegen.
Jede Verletzung der Compliance Es werden alle Regelverletzungen protokolliert, unabhängig davon ob bereits eine Ausnahmegenehmigung vorliegt oder nicht.

Dieser Wert wird automatisch gesetzt, wenn die Option Explizite Ausnahmegenehmigung aktiviert wird.

Wenn der Konfigurationsparameter "QER\ComplianceCheck\EnableITSettingsForRule" deaktiviert ist, werden neue Regelverletzungen durch die aktuelle Bestellung protokolliert.

Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating