Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für IT Shop

Einrichten einer IT Shop-Lösung
One Identity Manager Benutzer im IT Shop Inbetriebnahme des IT Shops Bestellbare Produkte Vorbereitung der Produkte zur Bestellung
Erfassen von Leistungspositionen Erfassen von Servicekategorien Erfassen produktspezifischer Bestelleigenschaften Produkte für zeitlich begrenzte Bestellungen Produktbestellung bei Umzug des Kunden oder des Produkts Nicht bestellbare Produkte Erfassen von Nutzungsbedingungen Erfassen von Schlagworten
Zuweisen und Entfernen der Produkte Vorbereiten des IT Shops für die Multifaktor-Authentifizierung Zuweisungsbestellung und Delegierung Übernahme vorhandener Benutzerkonten, Zuweisungen und Rollenmitgliedschaften in IT Shop Bestellungen Gruppen automatisch in den IT Shop aufnehmen
Genehmigungsverfahren für IT Shop-Bestellungen
Entscheidungsrichtlinien bearbeiten Entscheidungsworkflows Ermitteln der wirksamen Entscheidungsrichtlinie Auswahl der verantwortlichen Entscheider Risikobewertung einer Bestellung Prüfen von Bestellungen auf Regelkonformität Genehmigung von Bestellungen eines Entscheiders Automatische Entscheidung von Bestellungen Einholen weiterer Informationen zur Bestellung durch einen Entscheider Andere Entscheider beauftragen Eskalieren eines Entscheidungsschrittes Entscheider können nicht ermittelt werden Automatische Entscheidung bei Zeitüberschreitung Abbruch einer Bestellung bei Zeitüberschreitung Entscheidungen durch die zentrale Entscheidergruppe Bestellungen mit Nutzungsbedingungen entscheiden Standard-Genehmigungsverfahren nutzen
Ablauf einer Bestellung Bearbeiten des IT Shops
Basisdaten für den IT Shop Einrichten von IT Shop Strukturen Einrichten von Kundenknoten Löschen von IT Shop Strukturen Vorlagen zur automatischen IT Shop-Befüllung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen Bestellvorlagen
Standardlösungen für die Bestellung von Systemberechtigungen Fehlerbehebung Anhang: Konfigurationsparameter für IT Shop Anhang: Status von Bestellungen Anhang: Beispiele für das Ergebnis von Bestellungen

Verarbeitung einer Entscheidungsmail

Tabelle 99: Konfigurationsparameter für die Entscheidung per E-Mail
Konfigurationsparameter Bedeutung
QER\ITShop\MailApproval\ExchangeURI Angabe der Exchange Web Service URL. Ist diese nicht spezifiziert, wird der AutoDiscover-Modus zur Erkennung der URL verwendet.

Der Zeitplan "Verarbeiten der IT Shop Genehmigungen per E-Mail" startet den Prozess VI_ITShop_Process Approval Inbox. Dieser Prozess führt das Skript VI_MailApproval_ProcessInBox aus, welches das Postfach nach neuen Entscheidungsmails durchsucht und die Bestellvorgänge in der One Identity Manager Datenbank aktualisiert. Danach wird der Inhalt der Entscheidungsmail verarbeitet.

Hinweis: Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!

Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der One Identity Manager Service läuft, diesem Rootzertifikat vertrauen.

TIPP: Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover-Dienst läuft.

Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter "QER\ITShop\MailApproval\ExchangeURI" an.

Entscheidungsmails werden durch das Skript VI_MailApproval_ProcessMail verarbeitet. Das Skript ermittelt die getroffene Entscheidung, setzt die Option Genehmigt und hinterlegt die Begründung für die Entscheidung an den Bestellvorgängen. Über die Absenderadresse wird der Entscheider ermittelt. Danach wird die Entscheidungsmail abhängig vom gewählten Aufräumverfahren aus dem Postfach entfernt.

Hinweis: Wenn Sie eine unternehmensspezifische Mailvorlage für die Entscheidungsmail nutzen, prüfen Sie das Skript und passen Sie es gegebenenfalls an. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!

Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften

Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften

Tabelle 100: Konfigurationsparameter für Ersatzbestellungen von entfernten Rollenmitgliedschaften
Konfigurationsparameter Bedeutung
QER\ITShop\ChallengeRoleRemoval Allgemeiner Konfigurationsparameter zum Umgang mit primären Rollenmitgliedschaften, die durch Datenimporte geändert wurden. Entfernte Rollenmitgliedschaften können durch zeitlich begrenzte Bestellungen aufrecht erhalten werden.
QER\ITShop\ChallengeRoleRemoval\DaysOfValidity Dieser Konfigurationsparameter enthält den Gültigkeitszeitraum (in Tagen) von temporären Bestellungen für entfernte Rollenmitgliedschaften.
QER\ITShop\ChallengeRoleRemoval\ITShopOrg Dieser Konfigurationsparameter enthält den Produktknoten, dem die zu bestellende Zuweisungsressource zugewiesen ist.
QER\ITShop\ChallengeRoleRemoval\Department Zeitliche begrenzte Bestellungen von Mitgliedschaften in Abteilungen werden unterstützt.
QER\ITShop\ChallengeRoleRemoval\Department\Primary Bei Änderung der primären Mitgliedschaft in Abteilungen wird eine temporäre Mitgliedschaft in der bisherigen Abteilung bestellt.
QER\ITShop\ChallengeRoleRemoval\Locality Zeitliche begrenzte Bestellungen von Mitgliedschaften in Standorten werden unterstützt.
QER\ITShop\ChallengeRoleRemoval\Locality\
Primary
Bei Änderung der primären Mitgliedschaft in Standorten wird eine temporäre Mitgliedschaft im bisherigen Standort bestellt.
QER\ITShop\ChallengeRoleRemoval\Org Zeitliche begrenzte Bestellungen von Mitgliedschaften in Geschäftsrollen werden unterstützt.
QER\ITShop\ChallengeRoleRemoval\Org\Primary Bei Änderung der primären Mitgliedschaft in Geschäftsrollen wird eine temporäre Mitgliedschaft in der bisherigen Geschäftsrolle bestellt.
QER\ITShop\ChallengeRoleRemoval\ProfitCenter Zeitliche begrenzte Bestellungen von Mitgliedschaften in Kostenstellen werden unterstützt.
QER\ITShop\ChallengeRoleRemoval\ProfitCenter\Primary Bei Änderung der primären Mitgliedschaft in Kostenstellen wird eine temporäre Mitgliedschaft in der bisherigen Kostenstelle bestellt.

Wechselt eine Person ihre primäre Abteilung (Geschäftsrolle, Kostenstelle oder den Standort), verliert sie alle darüber vererbten Unternehmensressourcen und Systemberechtigungen. Mitunter kann es erforderlich sein, dass die Person diese Unternehmensressourcen und Systemberechtigungen für einen bestimmten Zeitraum behält. Mit einer zeitlich begrenzten Bestellung kann die bisherige Mitgliedschaft der Person aufrecht erhalten werden. Die vererbten Zuweisungen werden erst nach Ablauf des Gültigkeitszeitraums dieser Bestellung entfernt. Innerhalb des Gültigkeitszeitraums kann die Person die Bestellung verlängern.

Voraussetzungen

  • Personenstammdaten werden durch einen Import geändert.
  • Der Import setzt die Session-Variable FullSync=TRUE.

Um automatische Bestellungen für entfernte Rollenmitgliedschaften zu konfigurieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\ChallengeRoleRemoval".
  2. Aktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\ChallengeRoleRemoval\DaysOfValidity" und geben Sie den Gültigkeitszeitraum für die Bestellungen an.
  3. Aktivieren Sie im Designer die Konfigurationsparameter unterhalb von "QER\ITShop\ChallengeRoleRemoval" für die Rollen, deren primäre Mitgliedschaften bei Änderung erhalten bleiben sollen.
  4. Übernehmen Sie die Änderungen in die Datenbank.

Hinweis: Die Konfigurationsparameter sind standardmäßig aktiviert. Der Gültigkeitszeitraum ist auf 7 Tage festgelegt.

Wenn durch einen Import Personenstammdaten geändert werden, prüft der One Identity Manager beim Speichern, ob eine primäre Rollenmitgliedschaft (beispielsweise Person.UID_Department) geändert oder gelöscht wurde. Ist das der Fall, wird das Skript VI_CreateRequestForLostRoleMembership ausgeführt. Das Skript erzeugt eine zeitlich begrenzte Zuweisungsbestellung dieser Rolle, die automatisch genehmigt wird. Die Person bleibt damit Mitglied der Rolle und behält ihre Unternehmensressourcen und Systemberechtigungen. Nach Ablauf des Gültigkeitszeitraums wird die Bestellung automatisch abbestellt.

Während des Gültigkeitszeitraums kann die Bestellung verlängert werden. Die Verlängerungsbestellung muss durch den Manager der Rolle entschieden werden. Bei Genehmigung wird sie in eine unbefristete Bestellung umgewandelt. Die Rollenmitgliedschaft bleibt bestehen, bis die Zuweisung abbestellt wird.

TIPP: Im Konfigurationsparameter "QER\ITShop\ChallengeRoleRemoval\ITShopOrg" ist festgelegt, welcher Produktknoten für die zeitlich begrenzte Bestellung geänderter Rollenmitgliedschaften verwendet werden soll. Das Produkt "Infragestellen der Entfernung von primären Rollenzuweisungen" steht standardmäßig im Regal "Identity & Access Lifecycle\Identity Lifecycle" bereit. Sie können dieses Produkt auch in eine eigene IT Shop-Lösung aufnehmen.

Um das Produkt "Infragestellen der Entfernung von primären Rollenzuweisungen" in einer eigenen IT Shop-Lösung zu nutzen

  1. Weisen Sie die Zuweisungsressource "Infragestellen der Entfernung von primären Rollenzuweisungen" an ein eigenes Regal zu.
  2. Bearbeiten Sie im Designer den Wert des Konfigurationsparameters "QER\ITShop\ChallengeRoleRemoval\ITShopOrg".
    • Geben Sie den vollständigen Namen oder die UID des neuen Produktknotens an.

Bestellungen von dauerhaft deaktivierten Personen

Bestellungen von dauerhaft deaktivierten Personen

Tabelle 101: Konfigurationsparameter zum Löschen von abgeschlossenen Bestellungen
Konfigurationsparameter Wirkung
QER\ITShop\AutoCloseInactivePerson Der Konfigurationsparameter legt fest, ob Personen aus allen Kundenknoten entfernt werden sollen, wenn sie dauerhaft deaktiviert werden.

Standardmäßig bleiben dauerhaft deaktivierte Personen Mitglied in allen Kundenknoten. Damit bleiben auch alle offenen Bestellungen und die daraus resultierenden Zuweisungen erhalten. Der One Identity Manager kann so konfiguriert werden, dass eine Person automatisch aus allen Kundenknoten entfernt wird, sobald sie dauerhaft deaktiviert wird. Damit werden alle offenen Bestellungen abgebrochen und die bestehenden Zuweisungen werden entfernt.

Um Personen automatisch aus allen Kundenknoten zu entfernen, wenn sie dauerhaft deaktiviert werden

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\AutoCloseInactivePerson".

Bestellungen löschen

Bestellungen löschen

Tabelle 102: Konfigurationsparameter zum Löschen von abgeschlossenen Bestellungen
Konfigurationsparameter Wirkung
Common\ProcessState\PropertyLog Bei Aktivierung des Konfigurationsparameters werden Änderungen einzelner Werte aufgezeichnet und in der Prozessansicht angezeigt.
QER\ITShop\DeleteClosed Der Konfigurationsparameter legt fest, ob abgeschlossene Bestellungen gelöscht werden.
QER\ITShop\DeleteClosed\Aborted Der Konfigurationsparameter gibt die maximale Aufbewahrungszeit (in Tagen) von abgebrochenen Bestellungen an.
QER\ITShop\DeleteClosed\Dismissed Der Konfigurationsparameter gibt die maximale Aufbewahrungszeit (in Tagen) von abgelehnten Bestellungen an.
QER\ITShop\DeleteClosed\Unsubscribed Der Konfigurationsparameter gibt die maximale Aufbewahrungszeit (in Tagen) von abbestellten Bestellungen an.

Um die Zahl der Bestellvorgänge in der One Identity Manager Datenbank zu beschränken, können Sie abgeschlossene Bestellvorgänge aus der Datenbank entfernen. Dabei werden die Eigenschaften der Bestellvorgänge und die Genehmigungshistorie aufgezeichnet. Anschließend werden die Bestellungen gelöscht. Es verbleiben nur die abgeschlossenen Bestellungen in der Datenbank, deren Aufbewahrungszeitraum noch nicht abgelaufen ist.

Um Bestellvorgänge automatisiert zu löschen

  1. Aktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\DeleteClosed".
    1. Damit abgebrochene Bestellungen gelöscht werden, aktivieren Sie den Konfigurationsparameter "QER\ITShop\DeleteClosed\Aborted" und legen Sie deren Aufbewahrungszeitraum in Tagen fest.
    2. Damit abgelehnten Bestellungen gelöscht werden, aktivieren Sie den Konfigurationsparameter "QER\ITShop\DeleteClosed\Dismissed" und legen Sie deren Aufbewahrungszeitraum in Tagen fest.
    3. Damit abbestellten Bestellungen gelöscht werden, aktivieren Sie den Konfigurationsparameter "QER\ITShop\DeleteClosed\Unsubscribed" und legen Sie deren Aufbewahrungszeitraum in Tagen fest.
  2. Aktivieren Sie im Designer den Konfigurationsparameter "Common\ProcessState\PropertyLog".

    Die gelöschten Bestellvorgänge und deren Genehmigungshistorie werden aufgezeichnet. Ausführliche Informationen zum Aufzeichnen von Datenänderungen finden Sie im One Identity Manager Konfigurationshandbuch.

    Hinweis: Aus Gründen der Revisionssicherheit sollten Sie die aufgezeichneten Bestellvorgänge archivieren. Ausführliche Informationen zur Einrichtung eines Archivierungsverfahrens finden Sie im One Identity Manager Administrationshandbuch für die Datenarchivierung.

Abgeschlossene Bestellungen werden durch den DBQueue Prozessor gelöscht, sobald die Aufbewahrungszeit der Bestellungen überschritten ist. Für die Berechnung der Aufbewahrungszeit wird der Zeitpunkt der letzten Änderung der Bestellung zugrunde gelegt. Der DBQueue Prozessor ermittelt die zu löschenden Bestellungen im Rahmen der täglichen Wartungsaufträge. Es werden alle Eigenschaften der Bestellvorgänge und ihre Genehmigungshistorie aufgezeichnet.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating