Chat now with support
Chat with Support

Identity Manager 8.2.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Attestierungsvorgänge löschen

Wenn regelmäßig Attestierungen durchgeführt werden, wächst die Tabelle AttestationCase sehr schnell. Um die Zahl der Attestierungsvorgänge in der One Identity Manager-Datenbank zu beschränken, können Sie veraltete, abgeschlossene Attestierungsvorgänge aus der Datenbank entfernen. Dabei werden die Eigenschaften der Attestierungsvorgänge aufgezeichnet und die Attestierungsvorgänge anschließend gelöscht. Es verbleiben genau so viele abgeschlossene Attestierungsvorgänge in der Datenbank, wie an den Attestierungsrichtlinien festgelegt ist. Ausführliche Informationen zum Aufzeichnen von Datenänderungen finden Sie im One Identity Manager Konfigurationshandbuch.

Hinweis: Aus Gründen der Revisionssicherheit sollten Sie die aufgezeichneten Attestierungsvorgänge archivieren. Ausführliche Informationen zur Einrichtung eines Archivierungsverfahrens finden Sie im One Identity Manager Administrationshandbuch für die Datenarchivierung.

Voraussetzungen

  • Der Konfigurationsparameter Common | ProcessState | PropertyLog ist aktiviert.

  • Die Attestierungsrichtlinie ist aktiviert.

Um Attestierungsvorgänge automatisiert zu löschen

  1. Aktivieren Sie an der Tabelle AttestationCase die Option Aufzeichnen beim Löschen für mindestens drei Spalten.

    1. Wählen Sie im Designer die Kategorie Datenbankschema | Tabellen | AttestationCase.

    2. Wählen Sie in der Aufgabenansicht Tabellendefinition anzeigen.

      Der Schemaeditor wird geöffnet.

    3. Wählen Sie im Schemaeditor eine Spalte.

    4. Wählen Sie in der Bearbeitungsansicht des Schemaeditors den Tabreiter Sonstiges.

    5. Aktivieren Sie die Option Aufzeichnen beim Löschen.

    6. Wiederholen Sie die Schritte c) bis e) für alle Spalten, die beim Löschen aufgezeichnet werden sollen, mindestens jedoch für drei Spalten.

    7. Klicken Sie Übernahme in Datenbank und speichern Sie die Änderungen.

      Sobald der DBQueue Prozessor die Berechnungsaufträge abgearbeitet hat, sind die Änderungen wirksam.

  2. Aktivieren Sie an der Tabelle AttestationHistory die Option Aufzeichnen beim Löschen für mindestens drei Spalten.

    1. Wählen Sie im Designer die Kategorie Datenbankschema | Tabellen | AttestationHistory.

    2. Wiederholen Sie die Schritte 1b) bis 1g) für die Tabelle AttestationHistory.

  3. Erfassen Sie an den Attestierungsrichtlinien die Anzahl veralteter Vorgänge.

    1. Wählen Sie im Manager die Kategorie Attestierung | Attestierungsrichtlinien.

    2. Wählen Sie in der Ergebnisliste die Attestierungsrichtlinie, deren Attestierungsvorgänge gelöscht werden sollen.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Erfassen Sie im Eingabefeld Anzahl veralteter Vorgänge einen Wert größer 0.

    5. Speichern Sie die Änderungen.
TIPP: Wenn Sie verhindern wollen, dass für einzelne Attestierungsrichtlinien die Attestierungsvorgänge gelöscht werden, erfassen Sie als Anzahl veralteter Vorgänge für diese Attestierungsrichtlinien den Wert 0.

Attestierungsvorgänge werden gelöscht, sobald für eine Attestierungsrichtlinie eine neue Attestierung gestartet wird.

Der One Identity Manager prüft, wie viele abgeschlossene Attestierungsvorgänge für jedes Attestierungsobjekt dieser Attestierungsrichtlinie in der Datenbank vorhanden sind. Wenn die Anzahl größer ist als die Anzahl veralteter Vorgänge der Attestierungsrichtlinie, werden

  • die Eigenschaften dieser Attestierungsvorgänge und ihr Entscheidungsverlauf aufgezeichnet

    Es werden alle Spalten aufgezeichnet, die zum Aufzeichnen beim Löschen markiert sind.

  • die Attestierungsvorgänge gelöscht

    Es verbleiben genau so viele abgeschlossene Attestierungsvorgänge in der Datenbank, wie in der Anzahl veralteter Vorgänge festgelegt ist.

Wenn der Konfigurationsparameter Common | ProcessState | PropertyLog nachträglich deaktiviert wird oder nicht genügend Spalten mit der Option Aufzeichnen beim Löschen markiert sind, hat der Wert für Anzahl veralteter Vorgänge keine Wirkung.

Besonderheiten für deaktivierte Attestierungsrichtlinien

  • Beim Deaktivieren einer Attestierungsrichtlinie werden immer alle Attestierungsvorgänge gelöscht.

  • Die Anzahl veralteter Vorgänge hat keine Wirkung.

  • Die Attestierungsvorgänge werden auch dann gelöscht, wenn der Konfigurationsparameter Common | ProcessState | PropertyLog deaktiviert ist. In diesem Fall werden die gelöschten Attestierungsvorgänge nicht aufgezeichnet.

Verwandte Themen

Benachrichtigungen im Attestierungsvorgang

Innerhalb eines Attestierungsvorgangs können verschiedene E-Mail Benachrichtigungen an Attestierer und andere Personen versendet werden. Die Benachrichtigungsverfahren nutzen Mailvorlagen zur Erzeugung der Benachrichtigungen. In einer Mailvorlage sind die Mailtexte in verschiedenen Sprachen definiert. Somit wird bei Generierung einer E-Mail-Benachrichtigung die Sprache des Empfängers berücksichtigt. In der Standardinstallation sind bereits Mailvorlagen enthalten, die Sie zur Konfiguration der Benachrichtigungsverfahren verwenden können.

Benachrichtigungen werden standardmäßig nicht an die zentrale Entscheidergruppe versendet. Fallback-Entscheider werden nur benachrichtigt, wenn für einen Entscheidungsschritt nicht genügend Entscheider ermittelt werden können.

Um Benachrichtigungen im Bestellprozess zu nutzen

  1. Stellen Sie sicher, dass das E-Mail-Benachrichtungssystem im One Identity Manager konfiguriert ist. Ausführliche Informationen finden Sie im One Identity Manager Installationshandbuch.

  2. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | DefaultSenderAddress und erfassen Sie die Absenderadresse, mit der die E-Mail Benachrichtigungen verschickt werden.

  3. Stellen Sie sicher, dass alle Personen eine Standard-E-Mail-Adresse besitzen. An diese E-Mail Adresse werden die Benachrichtigungen versendet. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  4. Stellen Sie sicher, dass für alle Personen eine Sprachkultur ermittelt werden kann. Nur so erhalten die Personen die E-Mail Benachrichtigungen in ihrer Sprache. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  5. Konfigurieren Sie die Benachrichtigungsverfahren.

Verwandte Themen

Aufforderung zur Attestierung

Liegt ein neuer Attestierungsvorgang vor, dann erhalten die Attestierer eine Benachrichtigung. Die Aufforderung zur Attestierung kann für jeden Entscheidungsschritt separat konfiguriert werden.

Voraussetzung

  • Der Konfigurationsparameter QER | Attestation | MailTemplateIdents | RequestApproverByCollection ist deaktiviert.

Um das Benachrichtigungsverfahren einzurichten

  • Erfassen Sie am Entscheidungsschritt auf dem Tabreiter Mailvorlagen die folgenden Daten.

    Mailvorlage Aufforderung: Attestierung - Aufforderung zur Entscheidung

    TIPP: Um die Entscheidung per E-Mail zuzulassen, wählen Sie die Mailvorlage Attestierung - Aufforderung zur Entscheidung (per E-Mail).

TIPP: Um eine allgemeine Benachrichtigung zu versenden, wenn offene Attestierungen vorliegen, können Sie die zeitgesteuerte Aufforderung zur Attestierung konfigurieren. Damit werden die einzelnen Aufforderungen zur Attestierung an den Entscheidungsschritten ersetzt.

Verwandte Themen

Erinnerung der Attestierer

Hat ein Attestierer nach Ablauf eines festgelegten Erinnerungsintervalls einen Attestierungsvorgang noch nicht bearbeitet, kann er eine Erinnerungsbenachrichtigung erhalten. Für die Zeitberechnung wird die gültige Arbeitszeit des Attestierers berücksichtigt.

Voraussetzung

  • Der Konfigurationsparameter QER | Attestation | MailTemplateIdents | RequestApproverByCollection ist deaktiviert.

Um das Benachrichtigungsverfahren einzurichten

  • Erfassen Sie am Entscheidungsschritt die folgenden Daten.

    • Erinnerung nach (Minuten):

      Anzahl der Minuten, nach deren Ablauf die Attestierer per E-Mail Benachrichtigung erinnert werden, dass noch offene Attestierungsvorgänge zur Attestierung vorliegen. Die Angabe wird in Arbeitsstunden umgerechnet und zusätzlich angezeigt.

      Das Erinnerungsintervall wird standardmäßig alle 30 Minuten geprüft. Um dieses Prüfintervall zu ändern, passen Sie den Zeitplan Erinnerungsintervall und Timeout von Attestierungsvorgängen prüfen an.

      HINWEIS: Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Personen ein Bundesland und/oder ein Bundesstaat eingetragen ist. Wenn diese Informationen fehlen, wird ein Fallback zur Berechnung der Arbeitszeit genutzt. Ausführliche Informationen zur Ermittlung der Arbeitszeit von Personen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

      TIPP: Wochenenden und Feiertage werden bei der Berechnung der Arbeitszeiten standardmäßig berücksichtigt. Wenn Wochenenden oder Feiertage wie Arbeitstage behandelt werden sollen, aktivieren Sie die Konfigurationsparameter QBM | WorkingHours | IgnoreHoliday oder QBM | WorkingHours | IgnoreWeekend. Ausführliche Informationen dazu finden Sie im One Identity Manager Konfigurationshandbuch.

      Wurden mehrere Attestierer ermittelt, dann erhält jeder Attestierer die Benachrichtigung. Gleiches gilt, wenn ein zusätzlicher Attestierer beauftragt wurde.

      Hat ein Attestierer die Entscheidung delegiert, wird der Zeitpunkt für die Erinnerung für den Empfänger der Delegierung neu berechnet. Der Empfänger der Delegierung und alle übrigen Attestierer erhalten die Benachrichtigung. Der ursprüngliche Attestierer wird nicht benachrichtigt.

      Wenn ein Attestierer eine Anfrage gestellt hat, wird der Zeitpunkt für die Erinnerung für die angefragte Person neu berechnet. Solange die Anfrage nicht beantwortet ist, erhält nur diese Person eine Benachrichtigung.

    • Mailvorlage Erinnerung: Wählen Sie die Mailvorlage Attestierung - Erinnerung Entscheider.

      TIPP: Um die Entscheidung per E-Mail zuzulassen, wählen Sie die Mailvorlage Attestierung - Erinnerung Entscheider (per E-Mail).

TIPP: Um eine allgemeine Benachrichtigung zu versenden, wenn offene Attestierungen vorliegen, können Sie die zeitgesteuerte Aufforderung zur Attestierung konfigurieren. Damit werden die einzelnen Aufforderungen zur Attestierung an den Entscheidungsschritten ersetzt.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating