Chat now with support
Chat with Support

Identity Manager 8.2 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Konfigurationsparameter für die Attestierung

Verarbeitung von Attestierungsmails

Der Zeitplan Verarbeiten der Entscheidungen von Attestierungen per E-Mail startet den Prozess VI_Attestation_Process Approval Inbox. Dieser Prozess führt das Skript VI_MailApproval_ProcessInBox aus, welches das Postfach nach neuen Attestierungsmails durchsucht und die Attestierungsvorgänge in der One Identity Manager-Datenbank aktualisiert. Dabei wird der Inhalt der Attestierungsmail verarbeitet.

HINWEIS: Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!

Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der One Identity Manager Service läuft, diesem Rootzertifikat vertrauen.

TIPP: Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover-Dienst läuft.

Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter QER | Attestation | MailApproval | ExchangeURI an.

Attestierungsmails werden durch das Skript VI_MailApproval_ProcessMail verarbeitet. Das Skript ermittelt die getroffene Entscheidung, aktiviert bei positiver Entscheidung die Option Genehmigt und hinterlegt die Begründung für die Entscheidung an den Attestierungsvorgängen. Über die Absenderadresse wird der Attestierer ermittelt. Danach wird die Attestierungsmail abhängig vom gewählten Aufräumverfahren aus dem Postfach entfernt.

HINWEIS: Wenn Sie eine unternehmensspezifische Mailvorlage für die Attestierungsmail nutzen, prüfen Sie das Skript und passen Sie es gegebenenfalls an. Beachten Sie dabei, dass dieses Skript auch für Entscheidungen von IT Shop-Bestellungen per E-Mail verwendet wird!

Standardattestierungen und der Entzug von Berechtigungen

Der One Identity Manager stellt für verschiedene Datensituationen Standard-Attestierungsverfahren und Standard-Attestierungsrichtlinien bereit.

Datensituationen für Standardattestierungen:

  • Systemberechtigungen, die eine Person besitzt

  • Systemberechtigungen, die an Systemberechtigungen zugewiesen sind

  • Systemberechtigungen, die an hierarchische Rollen zugewiesen sind

  • Systemrollen, die einer Person zugewiesen sind

  • Unternehmensressourcen, die an Systemrollen zugewiesen sind

  • Systemrollen, die an hierarchische Rollen zugewiesen sind

  • Mitgliedschaften in Geschäftsrollen und Anwendungsrollen

  • Personenstammdaten eines neuen One Identity Manager Benutzers

  • Personenstammdaten vorhandener One Identity Manager Benutzer

Für die Attestierung von Personenstammdaten werden die erforderlichen Attestierungsrichtlinien standardmäßig bereitgestellt. Sie können diese Attestierungsrichtlinien ohne weitere Anpassungen nutzen. Voraussetzungen und Ablauf der Attestierung von Personenstammdaten ist im Abschnitt Attestierung und Rezertifizierung von Benutzern beschrieben.

Mit den Standard-Attestierungsverfahren für die übrigen Datensituationen können Sie auf einfachem Wege im Web Portal Attestierungsrichtlinien erstellen. Sie können auch die mitgelieferten Standard-Attestierungsrichtlinien ohne weitere Anpassungen nutzen. Darüber hinaus können Sie konfigurieren, wie mit abgelehnten Attestierungen weiter verfahren werden soll, die auf diesen Standard-Attestierungsverfahren basieren. Wenn es Ihre spezielle Datensituation zulässt, können abgelehnte Berechtigungen sofort im Anschluss an die Attestierung durch den One Identity Manager entzogen werden.

Um abgelehnte Berechtigungen automatisch zu entziehen

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | AutoRemovalScope und die untergeordneten Konfigurationsparameter.

  2. Wenn die Berechtigungen über IT Shop Bestellungen erworben wurden, legen Sie fest, ob diese Bestellungen abbestellt oder abgebrochen werden sollen. Aktivieren Sie dafür den Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName und wählen Sie einen Wert.

    • Abort: Bestellungen werden abgebrochen. Sie durchlaufen damit keinen Abbestellworkflow. Die bestellten Berechtigungen werden ohne zusätzliche Prüfung entzogen.

    • Unsubscribe: Bestellungen werden abbestellt. Sie durchlaufen den an den Entscheidungsrichtlinien hinterlegten Abbestellworkflow. Der Entzug der Berechtigung kann damit zusätzlich geprüft werden.

      Wenn die Abbestellung abgelehnt wird, wird die Berechtigung nicht entzogen, obwohl die Attestierung abgelehnt ist.

    Wenn der Konfigurationsparameter deaktiviert ist, werden die Bestellungen abgebrochen.

Wichtig: Wenn einer Person Rollenmitgliedschaften oder Systemrollen entzogen werden, verliert sie dadurch die abgelehnte Berechtigung. Sie verliert aber auch alle anderen Unternehmensressourcen, die ihr über die Rolle vererbt wurden. Das können weitere Systemberechtigungen oder Kontendefinitionen sein. Gegebenenfalls werden ihr dadurch zulässige Systemberechtigungen entzogen oder Benutzerkonten gelöscht!

Prüfen sie, ob Ihre Datensituation den automatischen Entzug von Berechtigungen zulässt, bevor Sie die Konfigurationsparameter unter QER | Attestation | AutoRemovalScope aktivieren.

Der automatische Entzug von Berechtigungen wird durch einen zusätzlichen Entscheidungsschritt mit dem Entscheidungsverfahren EX in den Standard-Entscheidungsworkflows angestoßen.

Ablauf der Attestierung mit anschließendem Entzug abgelehnter Berechtigungen:

  1. Eine Attestierung mit einem Standard-Attestierungsverfahren wird durchgeführt.

  2. Der Attestierer lehnt die Attestierung ab. Der Entscheidungsschritt wird negativ entschieden und die Entscheidung an die nächste Entscheidungsebene mit dem Entscheidungsverfahren EX übergeben.

  3. Der Entscheidungsschritt löst das Ereignis AUTOREMOVE aus. Dadurch wird der Prozess VI_Attestation_AttestationCase_AutoRemoveMemberships ausgeführt.

  4. Der Prozess führt das Skript VI_AttestationCase_RemoveMembership aus. Dieses entfernt die betroffene Berechtigung abhängig von den aktivierten Konfigurationsparametern.

  5. Das Skript setzt den Status des Entscheidungsschritts auf Abgelehnt. Dadurch wird der gesamte Attestierungsvorgang endgültig abgelehnt.

  6. Aufträge zur Neuberechnung der Vererbung werden in die DBQueue eingestellt.

Detaillierte Informationen zum Thema

Attestierung von Systemberechtigungen

Installierte Module: Zielsystem Basismodul

Wenn Sie die Standard-Attestierungsrichtline Attestierung von Mitgliedschaften in Systemberechtigungen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung von Mitgliedschaften in Systemberechtigungen erstellt haben, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | GroupMembership konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart das Benutzerkonto Mitglied in der Systemberechtigung wurde.

Tabelle 42: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDirect

Die direkte Mitgliedschaft des Benutzerkontos in der Systemberechtigung wird entfernt.

QER | Attestation | AutoRemovalScope | GroupMembership | RemovePrimaryRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine primäre Rolle vererbt, wird der Person diese Rolle entzogen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveRequestedRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine bestellte Rolle vererbt, wird die Bestellung der Rolle abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDelegatedRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveRequested

Wurde die Mitgliedschaft in der Systemberechtigung über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveSystemRole

Systemrollen, welche die Systemberechtigung enthalten, werden der Person entzogen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Systemrolle erhalten hat.

Dieser Konfigurationsparameter ist nur verfügbar, wenn das Systemrollenmodul installiert ist.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDirectRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine sekundäre Rolle (Organisation oder Geschäftsrolle) vererbt, wird die Mitgliedschaft der Person in dieser Rolle entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

QER | Attestation | AutoRemovalScope | GroupMembership | RemoveDynamicRole

Wurde die Mitgliedschaft in der Systemberechtigung über eine dynamische Rolle vererbt, wird die Person aus der dynamischen Rolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Wenn Sie die Standard-Attestierungsrichtline Attestierung von Zuweisungen zu Systemberechtigungen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung der Zuweisung von Systemberechtigungen an Systemberechtigungen erstellt haben, können Sie den automatischen Entzug der Systemberechtigungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | UNSGroupInUNSGroup konfigurieren.

Tabelle 43: Wirkung des Konfigurationsparameters bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | UNSGroupInUNSGroup | RemoveDirect

Die Zuweisung der Systemberechtigung an eine Systemberechtigung wird entfernt.

Der automatische Entzug der Zuweisung von Systemberechtigungen an hierarchische Rollen kann konfiguriert werden, wenn Sie folgende Standard-Attestierungsrichtlinien oder Standard-Attestierungsverfahren nutzen:

  • Attestierung der Zuweisung von Systemberechtigungen an Abteilungen

  • Attestierung der Zuweisung von Systemberechtigungen an Kostenstellen

  • Attestierung der Zuweisung von Systemberechtigungen an Standorte

  • Attestierung der Zuweisung von Systemberechtigungen an Geschäftsrollen

Aktivieren Sie dafür die folgenden Konfigurationsparameter.

Tabelle 44: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | DepartmentHasUNSGroup | RemoveDirect

Die Zuweisung der Systemberechtigung an eine Abteilung wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Abteilung erben, die Systemberechtigung entzogen.

QER | Attestation | AutoRemovalScope | ProfitCenterHasUNSGroup | RemoveDirect

Die Zuweisung der Systemberechtigung an eine Kostenstelle wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Kostenstelle erben, die Systemberechtigung entzogen.

QER | Attestation | AutoRemovalScope | LocalityHasUNSGroup | RemoveDirect

Die Zuweisung der Systemberechtigung an einen Standort wird entfernt.

Damit wird allen Personen, die Zuweisungen von diesem Standort erben, die Systemberechtigung entzogen.

QER | Attestation | AutoRemovalScope | OrgHasUNSGroup | RemoveDirect

Die Zuweisung der Systemberechtigung an eine Geschäftsrolle wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Geschäftsrolle erben, die Systemberechtigung entzogen.

Attestierung von Systemrollen

Installierte Module: Systemrollenmodul

Wenn Sie die Standard-Attestierungsrichtline Attestierung von Mitgliedschaften in Systemrollen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung von Mitgliedschaften in Systemrollen erstellt haben, können Sie den automatischen Entzug der Systemrollen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | ESetAssignment konfigurieren. Der One Identity Manager prüft im Anschluss an eine abgelehnte Attestierung, über welche Zuweisungsart die Person die Systemrolle erhalten hat.

Tabelle 45: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDirect

Die direkte Mitgliedschaft in der Systemrolle wird entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Systemrolle erhalten hat.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemovePrimaryRole

Wurde die Systemrolle über eine primäre Rolle vererbt, wird der Person diese Rolle entzogen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveRequestedRole

Wurde die Systemrolle über eine bestellte Rolle vererbt, wird die Bestellung der Rolle abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDelegatedRole

Wurde die Systemrolle über eine delegierte Rolle vererbt, wird die Delegierung dieser Rolle abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveRequested

Wurde die Systemrolle über den IT Shop bestellt, wird die Bestellung abgebrochen oder abbestellt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Systemrolle erhalten hat.

Das gewünschte Verhalten stellen Sie am Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName ein. Weitere Informationen finden Sie unter Standardattestierungen und der Entzug von Berechtigungen.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDirectRole

Wurde die Systemrolle über eine sekundäre Rolle (Organisation oder Geschäftsrolle) vererbt, wird die Mitgliedschaft der Person in dieser Rolle entfernt.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

QER | Attestation | AutoRemovalScope | ESetAssignment | RemoveDynamicRole

Wurde die Systemrolle über eine dynamische Rolle vererbt, wird die Person aus der dynamischen Rolle ausgeschlossen.

Damit werden alle indirekten Zuweisungen entfernt, welche die Person über diese Rolle erhalten hat.

Wenn Sie die Standard-Attestierungsrichtline Attestierung von Zuweisungen an Systemrollen nutzen oder Attestierungsrichtlinien mit dem Standard-Attestierungsverfahren Attestierung von Zuweisungen an Systemrollen erstellt haben, können Sie den automatischen Entzug der Zuweisungen über den Konfigurationsparameter QER | Attestation | AutoRemovalScope | ESetHasEntitlement konfigurieren.

Tabelle 46: Wirkung des Konfigurationsparameters bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | ESetHasEntitlement | RemoveDirect

Die Zuweisung der Unternehmensressource an eine Systemrolle wird entfernt.

Der automatische Entzug der Zuweisung von Systemrollen an hierarchische Rollen kann konfiguriert werden, wenn Sie folgende Standard-Attestierungsrichtlinien oder Standard-Attestierungsverfahren nutzen:

  • Attestierung der Zuweisung von Systemrollen an Abteilungen

  • Attestierung der Zuweisung von Systemrollen an Kostenstellen

  • Attestierung der Zuweisung von Systemrollen an Standorte

  • Attestierung der Zuweisung von Systemrollen an Geschäftsrollen

Aktivieren Sie dafür die folgenden Konfigurationsparameter.

Tabelle 47: Wirkung der Konfigurationsparameter bei abgelehnter Attestierung

Konfigurationsparameter

Wirkung bei Aktivierung

QER | Attestation | AutoRemovalScope | DepartmentHasESet | RemoveDirect

Die Zuweisung der Systemrolle an eine Abteilung wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Abteilung erben, die Systemrolle entzogen.

QER | Attestation | AutoRemovalScope | ProfitCenterHasESet | RemoveDirect

Die Zuweisung der Systemrolle an eine Kostenstelle wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Kostenstelle erben, die Systemrolle entzogen.

QER | Attestation | AutoRemovalScope | LocalityHasESet | RemoveDirect

Die Zuweisung der Systemrolle an einen Standort wird entfernt.

Damit wird allen Personen, die Zuweisungen von diesem Standort erben, die Systemrolle entzogen.

QER | Attestation | AutoRemovalScope | OrgHasESet | RemoveDirect

Die Zuweisung der Systemrolle an eine Geschäftsrolle wird entfernt.

Damit wird allen Personen, die Zuweisungen von dieser Geschäftsrolle erben, die Systemrolle entzogen.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating