Über eine Peer-Gruppen-Analyse können Attestierungsvorgänge automatisch genehmigt oder abgelehnt werden. Eine Peer-Gruppe bilden beispielsweise alle Personen derselben Abteilung. Bei der Peer-Gruppen-Analyse wird davon ausgegangen, dass diese Personen die gleichen Systemberechtigungen benötigen. Wenn also eine große Mehrheit der Mitarbeiter einer Abteilung eine Systemberechtigung besitzt, kann deren Zuweisung an eine andere Person dieser Abteilung automatisch genehmigt werden. Dadurch können Genehmigungsverfahren beschleunigt werden.
Die Peer-Gruppen-Analyse kann angewendet werden, wenn folgende Mitgliedschaften attestiert werden:
- Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup)
- Sekundäre Mitgliedschaften in Geschäftsrollen (Tabelle PersonInOrg)
Als Peer-Gruppe werden alle Personen zusammengefasst, die denselben Manager haben oder die derselben primären oder sekundären Abteilung angehören, wie die Person, die mit dem Attestierungsobjekt verbunden ist (= zu attestierende Person). Welche Personen zu einer Peer-Gruppe zusammengefasst werden, wird über Konfigurationsparameter festgelegt. Es muss mindestens einer der folgenden Konfigurationsparameter aktiviert sein.
-
QER | Attestation | PeerGroupAnalysis | IncludeManager: Personen, die denselben Manager haben, wie die zu attestierende Person
-
QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Personen, die derselben primären Abteilung angehören, wie die zu attestierende Person
-
QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Personen, deren sekundäre Abteilung der primären oder sekundären Abteilung der zu attestierenden Person entspricht
Welcher Anteil der Personen einer Peer-Gruppe die zu attestierende Mitgliedschaft bereits besitzen muss, wird über einen Schwellwert im Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold festgelegt. Der Schwellwert gibt das Verhältnis zwischen der Gesamtzahl der Personen in der Peer-Gruppe und der Anzahl der Person in der Peer-Gruppe, welche diese Mitgliedschaft bereits besitzen, an.
Zusätzlich kann festgelegt werden, dass Mitarbeiter keine funktionsfremden Mitgliedschaften besitzen dürfen. Das heißt, wenn die Mitgliedschaft und die zu attestierende Person zu unterschiedlichen Unternehmensbereichen gehören, soll der Attestierungsvorgang abgelehnt werden. Um diese Prüfung in die Peer-Gruppen-Analyse einzubeziehen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.
Ob eine Mitgliedschaft funktionsfremd ist, kann nur geprüft werden, wenn folgende Bedingungen erfüllt sind:
-
Die zu attestierende Person und die Mitglieder der Peer-Gruppe haben die Mitgliedschaft im IT Shop bestellt.
-
Der zu attestierenden Person ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.
-
Der Leistungsposition, die der Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.
Bei einer vollständig konfigurierten Peer-Gruppen-Analyse werden Attestierungsvorgänge automatisch genehmigt, wenn:
-
die zu attestierende Mitgliedschaft nicht funktionsfremd ist und
-
die Anzahl der Personen in der Peer-Gruppe, welche diese Mitgliedschaft bereits besitzen, einen festgelegten Schwellwert erreicht oder übersteigt.
Andernfalls werden die Attestierungsvorgänge automatisch abgelehnt.
Um diese Funktionalität nutzen zu können, stellt der One Identity Manager den Prozess ATT_AttestationCase_Peer group analysis und das Ereignis PeerGroupAnalysis bereit. Der Prozess wird über einen Entscheidungsschritt mit dem Entscheidungsverfahren EX ausgeführt.
Detaillierte Informationen zum Thema
Um die Peer-Gruppen-Analyse zu konfigurieren
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis.
-
Aktivieren Sie mindestens einen der folgenden Konfigurationsparameter:
-
QER | Attestation | PeerGroupAnalysis | IncludeManager: Personen, die denselben Manager haben, wie die mit dem Attestierungsobjekt verbundene Person
-
QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Personen, die derselben primären Abteilung angehören, wie die mit dem Attestierungsobjekt verbundene Person
-
QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Personen, deren sekundäre Abteilung der primären oder sekundären Abteilung der mit dem Attestierungsobjekt verbundenen Person entspricht
Damit legen Sie fest, welche Personen zur Peer-Gruppe gehören. Es können auch zwei oder alle Konfigurationsparameter aktiviert werden.
-
Um den Schwellwert für die Peer-Gruppe festzulegen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold und legen Sie einen Wert zwischen 0 und 1 fest.
Der Standardwert ist 0,9. Das heißt, mindestens 90% der Mitglieder der Peer-Gruppe müssen die zu attestierende Mitgliedschaft bereits besitzen, damit der Attestierungsvorgang genehmigt wird.
-
(Optional) Um zu prüfen, ob die zu attestierende Mitgliedschaft funktionsfremd ist, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.
-
Stellen Sie sicher, dass folgende Bedingungen erfüllt sind:
-
Die zu attestierende Person und die Mitglieder der Peer-Gruppe haben die Mitgliedschaft im IT Shop bestellt.
-
Der zu attestierenden Person ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.
-
Der Leistungsposition, die der Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.
Es werden nur Unternehmensbereiche berücksichtigt, die den Leistungspositionen primär zugewiesen sind.
Ausführliche Informationen zur Bearbeitung von Leistungspositionen finden Sie im One Identity Manager Administrationshandbuch für IT Shop. Ausführliche Informationen zu Unternehmensbereichen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
-
Erstellen Sie im Manager einen Entscheidungsworkflow mit mindestens einer Entscheidungsebene. Für den Entscheidungsschritt erfassen Sie mindestens folgende Daten:
-
Einzelschritt: EXWithPeerGroupAnalysis.
-
Entscheidungsverfahren: EX
-
Ereignis: PeerGroupAnalysis
Das Ereignis startet den Prozess ATT_AttestationCase_Peer group analysis, welcher das Skript ATT_PeerGroupAnalysis_for_Attestation ausführt.
Das Skript führt eine automatische Entscheidung aus und setzt den Typ des Entscheidungsschritts auf Zustimmung oder Ablehnung.
Detaillierte Informationen zum Thema
Verwandte Themen
Im Verlauf der Attestierung kann es notwendig sein, einen anderen als den standardmäßig verantwortlichen Attestierer mit der Attestierung zu beauftragen, beispielsweise weil ein verantwortlicher Attestierer abwesend ist. Möglicherweise werden zusätzliche Informationen über ein Attestierungsobjekt benötigt. Der One Identity Manager bietet verschiedene Möglichkeiten in einen offenen Attestierungsvorgang einzugreifen.
Ein Attestierer hat die Möglichkeit weitere Informationen zu einem Attestierungsvorgang einzuholen. Diese Nachfragemöglichkeit ersetzt jedoch nicht die Genehmigung oder Ablehnung eines Attestierungsvorgangs. Zur Informationseinholung ist kein zusätzlicher Entscheidungsschritt in einem Entscheidungsworkflow erforderlich.
Der Attestierer kann eine Anfrage an jede beliebige Person stellen. Der Attestierungsvorgang erhält für den Zeitpunkt der Anfrage einen Hold-Status. Sobald die angefragte Person die benötigten Informationen geliefert hat und der Attestierer den Entscheidungsschritt entschieden hat, wird der Hold-Status wieder aufgehoben. Der Attestierer kann eine offene Anfrage jederzeit zurückrufen. Der Hold-Status wird dadurch aufgehoben. Die Anfrage und die Antwort werden im Entscheidungsverlauf aufgezeichnet und stehen somit den Attestierern zur Verfügung.
HINWEIS: Wenn der Attestierer, der eine Anfrage gestellt hat, als Entscheider entfällt, wird der Hold-Status aufgehoben. Die angefragte Person muss nicht mehr antworten. Der Attestierungsvorgang wird fortgesetzt.
Über offene Anfragen können E-Mail Benachrichtigungen an die beteiligten Personen versendet werden.
Ausführliche Informationen über Anfragen finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.
Detaillierte Informationen zum Thema