Chat now with support
Chat with Support

Identity Manager 8.2.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Attestierung per E-Mail

Um Attestierern, die zeitweilig keinen Zugang zu den One Identity Manager-Werkzeugen haben, die Möglichkeit zu geben, Attestierungsvorgänge zu entscheiden, können Sie die Attestierung per E-Mail einrichten. Dabei erhalten die Attestierer eine E-Mail-Benachrichtigung, wenn für sie ein Attestierungsvorgang zur Entscheidung vorliegt. Über entsprechende Links in der E-Mail können die Attestierer die Entscheidung treffen, ohne sich mit dem Web Portal zu verbinden. Dabei wird eine E-Mail generiert, die die Entscheidung enthält und in der der Attestierer eine Begründung seiner Entscheidung erfassen soll. Diese E-Mail wird an ein zentrales Postfach gesendet. Der One Identity Manager überprüft das Postfach regelmäßig, wertet die eingegangenen E-Mails aus und aktualisiert entsprechend den Status der Attestierungsvorgänge.

WICHTIG: Eine Attestierung per E-Mail ist nicht möglich, wenn für die Attestierungsrichtlinie die Multifaktor-Authentifizierung konfiguriert ist. Attestierungsmails für solche Attestierungen bewirken eine Fehlermeldung.
Voraussetzungen

  • Wenn Sie ein Microsoft Exchange Postfach verwenden, konfigurieren Sie die Microsoft Exchange-Umgebung mit

    • Microsoft Exchange Client Access Server Version 2007, Service Pack 1 oder höher

    • Microsoft Exchange Web Service .NET API Version 1.2.1, 32 Bit

  • Wenn Sie ein Exchange Online Postfach verwenden, registrieren Sie im Microsoft Azure Management Portal in ihrem Azure Active Directory Mandanten eine Anwendung, beispielsweise One Identity Manager <Approval by Mail>.

    Ausführliche Informationen, wie Sie die Anwendung registrieren, finden Sie unter https://docs.microsoft.com/en-us/exchange/client-developer/exchange-web-services/how-to-authenticate-an-ews-application-by-using-oauth#register-your-application.

  • Das Benutzerkonto des One Identity Manager Service für die Anmeldung am Microsoft Exchange beziehungsweise am Exchange Online benötigt Vollzugriff auf das Postfach, das im Konfigurationsparameter QER | Attestation | MailApproval | Inbox angegeben ist.

  • Der Konfigurationsparameter QER | Attestation | MailTemplateIdents | RequestApproverByCollection ist deaktiviert.

Um die Attestierung per E-Mail einzurichten

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailApproval | Inbox und geben Sie das Postfach an, an das Entscheidungsmails gesendet werden sollen.

  2. Richten Sie den Zugriff auf das Postfach ein.

    • Wenn Sie ein Microsoft Exchange Postfach verwenden:

      • Standardmäßig nutzt der One Identity Manager das Benutzerkonto des One Identity Manager Service, um sich am Microsoft Exchange Server anzumelden und auf das Postfach zuzugreifen.

        - ODER -

      • Geben Sie ein separates Benutzerkonto für die Anmeldung am Microsoft Exchange Server zum Zugriff auf das Postfach an.

        • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailApproval | Account und tragen Sie den Namen des Benutzerkontos ein.

        • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailApproval | Domain und tragen Sie die Domäne des Benutzerkontos ein.

        • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailApproval | Password und tragen Sie das Kennwort des Benutzerkontos ein.

    • Wenn Sie ein Exchange Online Postfach verwenden:

      • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailApproval | AppId und tragen Sie die Anwendungs-ID ein, die bei der Registrierung der Anwendung im Azure Active Directory Mandanten erzeugt wurde.

      • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailApproval | Domain und tragen Sie die Domäne zur Anmeldung am Azure Active Directory ein.

      • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailApproval | Password und tragen Sie den geheimen Clientschlüssel (Anwendungskennwort) für die Anwendung ein.

  3. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailTemplateIdents | ITShopApproval.

    An diesem Konfigurationsparameter ist die Mailvorlage hinterlegt, die genutzt wird, um die Attestierungsmail zu erstellen. Sie können die Standardmailvorlage nutzen oder eine unternehmensspezifische Mailvorlage hinterlegen.

    TIPP: Um eine unternehmensspezifische Mailvorlage für Attestierungsmails zu nutzen, ändern Sie den Wert des Konfigurationsparameters. Passen Sie in diesem Fall auch das Skript VI_MailApproval_ProcessMail an.

  4. Ordnen Sie an den Entscheidungsschritten folgende Mailvorlagen zu.

    Tabelle 38: Mailvorlagen für die Entscheidung per E-Mail

    Eigenschaft

    Mailvorlage

    Mailvorlage Aufforderung

    Attestierung - Aufforderung zur Entscheidung (per E-Mail)

    Mailvorlage Erinnerung

    Attestierung - Erinnerung Entscheider (per E-Mail)

    Mailvorlage Delegierung

    Attestierung - Delegierte/zusätzliche Entscheidung (per E-Mail)

    Mailvorlage Zurückweisung

    Attestierung - Ablehnung Entscheidung (per E-Mail)

  5. Konfigurieren und aktivieren Sie im Designer den Zeitplan Verarbeiten der Entscheidungen von Attestierungen per E-Mail.

    Entsprechend diesem Zeitplan überprüft der One Identity Manager regelmäßig das Postfach nach neuen Attestierungsmails. Standardmäßig wird das Postfach alle 15 Minuten überprüft. Sie können das Ausführungsintervall des Zeitplans entsprechend ihren Erfordernissen anpassen.

Um das Postfach aufzuräumen

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailApproval | DeleteMode und wählen Sie einen der folgenden Werte.

    • HardDelete: Die verarbeitete E-Mail wird sofort gelöscht.

    • MoveToDeletedItems: Die verarbeitete E-Mail wird in den Ordner Gelöschte Objekte des Postfachs verschoben.

    • SoftDelete: Die verarbeitete E-Mail wird in den Active Directory Papierkorb verschoben und kann bei Bedarf wiederhergestellt werden.

    HINWEIS: Bei Einsatz der Aufräumverfahren MoveToDeletedItems oder SoftDelete sollten Sie den Ordner Gelöschte Objekte und den Active Directory Papierkorb in regelmäßigen Abständen leeren.

Verwandte Themen

Verarbeitung von Attestierungsmails

Der Zeitplan Verarbeiten der Entscheidungen von Attestierungen per E-Mail startet den Prozess VI_Attestation_Process Approval Inbox. Dieser Prozess führt das Skript VI_MailApproval_ProcessInBox aus, welches das Postfach nach neuen Attestierungsmails durchsucht und die Attestierungsvorgänge in der One Identity Manager-Datenbank aktualisiert. Dabei wird der Inhalt der Attestierungsmail verarbeitet.

HINWEIS: Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!

Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der One Identity Manager Service läuft, diesem Rootzertifikat vertrauen.

TIPP: Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover-Dienst läuft.

Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter QER | Attestation | MailApproval | ExchangeURI an.

Attestierungsmails werden durch das Skript VI_MailApproval_ProcessMail verarbeitet. Das Skript ermittelt die getroffene Entscheidung, aktiviert bei positiver Entscheidung die Option Genehmigt und hinterlegt die Begründung für die Entscheidung an den Attestierungsvorgängen. Über die Absenderadresse wird der Attestierer ermittelt. Danach wird die Attestierungsmail abhängig vom gewählten Aufräumverfahren aus dem Postfach entfernt.

HINWEIS: Wenn Sie eine unternehmensspezifische Mailvorlage für die Attestierungsmail nutzen, prüfen Sie das Skript und passen Sie es gegebenenfalls an. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!

Attestierung über adaptive Karten

Um Attestierern, die zeitweilig keinen Zugang zu den One Identity Manager Werkzeugen haben, die Möglichkeit zu geben, Attestierungsvorgänge zu entscheiden, können Sie adaptive Karten versenden. Adaptive Karten enthalten alle Informationen zum Attestierungsvorgang, die für die Attestierung nötig sind. Dazu gehören:

  • Aktuelle und nächste Attestierer

  • Attestierungshistorie

  • Link auf den Attestierungsvorgang im Web Portal

  • Möglichkeit zur Auswahl einer Standardbegründung oder Eingabe einer Begründung als Freitext

  • Hinweis, wenn durch die Ablehnung der Attestierung die attestierte Berechtigung automatisch entzogen wird

  • Hinweis, ob das Attestierungsobjekt bereits zuvor mit der selben Attestierungsrichtlinie attestiert wurde

One Identity Starling Cloud Assistant übermittelt die adaptiven Karten über einen festgelegten Kanal an die Attestierer, wartet auf deren Antwort und sendet diese an den One Identity Manager. Aktuell können Slack und Microsoft Teams für die Übermittlung der adaptiven Karten genutzt werden. In Starling Cloud Assistant werden die Kanäle konfiguriert und können für jeden Empfänger separat festgelegt werden.

Voraussetzungen
Verwandte Themen

Adaptive Karten für Attestierungen nutzen

Damit Attestierer Attestierungsvorgänge über adaptive Karten entscheiden können, müssen sie als Empfänger in Starling Cloud Assistant registriert werden. Jedem Empfänger muss ein Kanal zugeordnet werden, über den die adaptiven Karten zugestellt werden. One Identity Manager stellt adaptive Karten für die Aufforderung zur Attestierung in Deutsch und Englisch bereit. Diese können bei Bedarf unternehmensspezifisch angepasst werden.

Eine Entscheidung muss standardmäßig innerhalb von 5 Minuten getroffen werden. Ist diese Zeit überschritten, muss das Web Portal genutzt werden, um den Attestierungsvorgang zu entscheiden. Diese Ablaufzeit kann konfiguriert werden.

Um adaptive Karten für Attestierungen nutzen zu können

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | Starling | UseApprovalAnywhere.

  2. Stellen Sie sicher, dass für jede Person, die adaptive Karten nutzen soll, in One Identity Manager eine Standard-E-Mail-Adresse hinterlegt ist. Diese Adresse muss der E-Mail-Adresse entsprechen, mit der sich die Person an Microsoft Teams oder Slack anmeldet.

    Ausführliche Informationen zur Standard-E-Mail-Adresse finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  3. Stellen Sie sicher, dass für jede Person, die adaptive Karten nutzen soll, eine Sprache ermittelt werden kann. So können die Attestierer die adaptiven Karten in ihrer Sprache erhalten.

    Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  4. Deaktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | MailTemplateIdents | RequestApproverByCollection.

  5. Ordnen Sie den Entscheidungsschritten auf dem Tabreiter Mailvorlagen eine Mailvorlage Aufforderung zu.

  6. Registrieren Sie alle Personen, welche adaptive Karten für Attestierungen nutzen sollen, als Empfänger (Recipient) in Starling Cloud Assistant und ordnen Sie den zu verwendenden Kanal (Channel) zu.

  7. Installieren Sie die zum Kanal passende Starling Cloud Assistant App.

    Jede registrierte Person muss diese App installieren.

    Ausführliche Informationen dazu finden Sie im One IdentityStarling Cloud Assistant User Guide unter https://support.oneidentity.com/starling-cloud-assistant/hosted/technical-documents.

  8. (Optional) Ändern Sie die Ablaufzeit für adaptive Karten.

    • Aktivieren Sie im Designer den Konfigurationsparameters QER | Person | Starling | UseApprovalAnywhere | SecondsToExpire und passen Sie den Wert an. Erfassen Sie die Ablaufzeit in Sekunden.

  9. (Optional) Stellen Sie landesspezifische Vorlagen für adaptive Karten bereit oder passen Sie weitere Einstellungen der adaptiven Karte an.

    Wenn keine Sprache ermittelt werden kann oder für die ermittelte Sprache keine passende Vorlage vorhanden ist, wird en-US als Fallback genutzt.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating