Dynamische Rollen für Geschäftsrollen mit fehlerhaft ausgeschlossenen Personen
Im Manager erhalten Sie einen Überblick über alle dynamischen Rollen mit widersprüchlichen Einträgen in der Ausschlussliste. Das heißt, für mindestens einen Eintrag in der Ausschlussliste gilt:
-
Die Bedingung der dynamischen Rolle trifft nicht zu.
Das kann beispielsweise auftreten, wenn die Bedingung der dynamischen Rolle geändert wurde, nachdem die Person in die Ausschlussliste eingetragen wurde.
- ODER -
-
Die ausgeschlossene Person ist auch über einen anderen Weg an die Rolle zugewiesen.
Beispielsweise per Vererbung oder durch Direktzuweisung.
Prüfen Sie diese Einträge und korrigieren Sie die Zuweisungen.
Um widersprüchliche Einträge in der Ausschlussliste für Geschäftsrollen zu prüfen
-
Wählen Sie im Manager die Kategorie Geschäftsrollen > Fehlerdiagnose > Dynamische Rollen mit potentiell fehlerhaft ausgeschlossenen Personen.
-
Wählen Sie in der Ergebnisliste die dynamische Rolle.
-
Wählen Sie die Aufgabe Personen ausschließen.
In der Ausschlussliste sehen Sie, auf welche Personen die genannten Bedingungen zutreffen.
Ausführliche Informationen zum Bearbeiten der Ausschlussliste von dynamischen Rollen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Verwandte Themen
Berichte über Geschäftsrollen
Der One Identity Manager stellt verschiedene Berichte zur Verfügung, in denen Informationen über das ausgewählte Basisobjekt und seine Beziehungen zu anderen Objekten der One Identity Manager-Datenbank aufbereitet sind. Für Geschäftsrollen stehen folgende Berichte zur Verfügung.
HINWEIS: Abhängig von den vorhandenen Modulen können weitere Berichte zur Verfügung stehen.
Tabelle 16: Berichte über Geschäftsrollen
Übersicht aller Zuweisungen |
Der Bericht ermittelt alle Rollen, in denen die Personen der ausgewählten Geschäftsrolle ebenfalls Mitglied sind. |
Historische Mitgliedschaften anzeigen |
Der Bericht listet alle Mitglieder der ausgewählten Geschäftsrolle und den Zeitraum ihrer Mitgliedschaft auf. |
Zu entscheidende Produkte anzeigen |
Der Bericht zeigt für eine Geschäftsrolle alle Produkte, deren Bestellungen durch Mitglieder der Geschäftsrolle genehmigt werden können. |
Geschäftsrollen mit hohem Risikoindex |
Der Bericht listet alle Geschäftsrollen mit einem Risikoindex gleich oder höher als den konfigurierbaren Risikoindex. Das Ergebnis kann auf eine bestimmte Rollenklasse eingeschränkt werden. Den Bericht finden Sie in der Kategorie Mein One Identity Manager. |
Verwandte Themen
Role Mining im One Identity Manager
Die Gestaltung von Geschäftsrollen kann auf zwei Wegen erfolgen:
-
Rollenmodellierung wie unter Geschäftsrollen verwalten beschrieben.
-
Analyse der existierenden Berechtigungen, das sogenannte Role Mining.
Mit dem Programm Analyzer stellt der One Identity Manager eigenes Werkzeug für die Analyse der Benutzerkonten und Berechtigungen zur Verfügung. Der Analyzer unterstützt die von Geschäftsrollen genauso wie die Analyse der Datenqualität in Bezug auf die Frage: Wie gut sind die Berechtigungsdaten für eine teilautomatisierte Rollenbildung geeignet?
Der Analyzer bietet:
-
die automatische Analyse von Berechtigungszuordnungen auf Basis von Clusteranalyse Algorithmen mit unterschiedlichen Wichtungen
-
die automatische Analyse existierender Strukturen und der Berechtigungen der dort zugeordneten Personen
-
eine manuelle Analyse bestimmter Mitarbeitergruppen zur Rollenbildung
Ziel der Rollenbildung ist es, direkte Berechtigungen, die bisher in einzelnen Anwendungssystemen für Benutzer vergeben wurden, durch indirekte zu ersetzen. Dabei können Berechtigungen, die Benutzer über die Zugehörigkeit in einer Rolle erhalten, auch Anwendungssystem übergreifend definiert werden. Das Ziel des Analyzers ist dabei nicht nur die reine Rollenbildung, sondern auch die Einordnung der Rollen in ein einfach zu administrierendes Hierarchiesystem. So kann der Verwaltungsaufwand weiter reduziert und die Sicherheit bei der Berechtigungsvergabe erhöht werden.
Um das Role Mining im One Identity Manager zu nutzen
HINWEIS: Um den Analyzer für die Analyse von Berechtigungen zu nutzen, muss mindestens das Zielsystem Basismodul vorhanden sein.
Clusteranalyse als Grundlage des Role Mining
Grundlage des Role Mining ist immer eine Clusteranalyse, bei Analyzer mit Hilfe eines mathematischen Algorithmus versucht, einzelne Cluster, also Personen mit ähnlichen Berechtigungen, zu finden. Dabei werden entweder hierarchische Strukturen gebildet oder vorgegebene Strukturen genutzt, die für den Aufbau eines eigenen Rollenmodells genutzt werden können.
Beim Role Mining versucht man allerdings nicht nur, einzelne Cluster zu finden und diese dann Geschäftsrollen zuzuweisen. Vielmehr ist es sinnvoll, direkt hierarchische Rollenstrukturen zu entwickeln, die dann über die gängigen Vererbungsmechanismen effizient nutzbar sind.
Automatisiertes Role Mining unterstützt der One Identity Manager durch zwei verschiedene Clusteranalyseverfahren, die sich durch die Berechnung der Abstände zwischen einzelnen Clustern unterscheiden. Auch die Verwendung von bereits vorhandenen Rollenstrukturen, beispielsweise organisatorische Strukturen aus ERP-Systemen, ist möglich. Mit Hilfe der Berechtigungsanalyse können diesen Rollensturkturen dann Berechtigungen zugewiesen werden. Zuletzt können Rollenstrukturen frei definiert und die Zuordnung von Berechtigungen und Personen an Hand der vorhandenen Berechtigungen manuell bewertet werden.
Abbildung 14: Clusteranalyse-Verfahren im Analyzer
Bei den Clusteringverfahren berechnet der Analyzer aus Berechtigungen eines Benutzers in den verschiedenen Anwendungssystemen, wie Active Directory, HCL Domino oder SAP R/3, eine Häufigkeitsverteilung. Dabei kann einzelnen Berechtigungen im Vergleich zu anderen eine höhere Wichtigkeit eingeräumt werden. So kann beispielsweise die Anzahl der Mitglieder einer Berechtigung ein solches Kriterium darstellen. Dies wird durch den Analyzer bei der Berechnung erkannt und durch Gewichtung bei der Abstandsbetrachtung zwischen den einzelnen Clustern berücksichtigt. So können die bei der Analyse entstehenden hierarchische Strukturen bereits im Vorfeld optimiert und eine möglichst kleine Anzahl von Rollen erzielt werden.