Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Attestierung durch die zu attestierende Identität verhindern

In einem Attestierungsvorgang kann das Attestierungsobjekt gleichzeitig als Attestierer ermittelt werden. Damit können die zu attestierenden Identitäten sich selbst attestieren. Um das zu verhindern, aktivieren Sie den Konfigurationsparameter QER | Attestation | PersonToAttestNoDecide.

HINWEIS:

  • Eine Änderung des Konfigurationsparameters wirkt nur auf neu zu erstellende Attestierungsvorgänge. Für bereits bestehende Attestierungsvorgänge werden die Attestierer nicht neu berechnet.

  • Die Einstellung der Konfigurationsparameter gilt auch für Fallback-Entscheider; sie gilt nicht für die zentrale Entscheidergruppe.

  • Wenn am Entscheidungsschritt die Option Entscheidung durch betroffene Identität aktiviert ist, hat der Konfigurationsparameter keine Wirkung.

Um zu verhindern, dass eine Identität sich selbst attestieren darf

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PersonToAttestNoDecide.

Der Konfigurationsparameter wirkt auf alle Attestierungsvorgänge, in denen Identitäten, die im Attestierungsobjekt oder in den Objektbeziehungen enthalten sind, gleichzeitig als Attestierer ermittelt werden. Folgende Identitäten werden aus dem Kreis der Attestierer entfernt:

  • Identitäten, die in AttestationCase.ObjectKeyBase enthalten sind

  • Identitäten, die in AttestationCase.UID_ObjectKey1, ObjectKey2 oder ObjectKey3 enthalten sind

  • die Hauptidentitäten dieser Identitäten

  • alle Subidentitäten dieser Hauptidentitäten

Ist der Konfigurationsparameter nicht aktiviert oder ist am Entscheidungsschritt die Option Entscheidung durch betroffene Identität aktiviert, dürfen diese Identitäten sich selbst attestieren.

Verwandte Themen

Entscheidung von Attestierern automatisch übernehmen

Bei der Einrichtung mehrstufiger Entscheidungsworkflows kann es vorkommen, dass ein Attestierer auf mehreren Entscheidungsebenen entscheidungsberechtigt ist. Standardmäßig wird ihm der Attestierungsvorgang in jeder Entscheidungsebene erneut vorgelegt. Damit dieser Attestierer den Attestierungsvorgang nicht mehrfach entscheiden muss, können Sie die automatische Entscheidung zulassen. Dabei wird eine einmal getroffene positive Entscheidung in nachfolgende Entscheidungsschritte übernommen, unabhängig davon, wie in dazwischenliegenden Entscheidungsschritten entschieden wurde.

HINWEIS: Automatische Entscheidungen gelten auch für Fallback-Entscheider; sie gelten nicht für die zentrale Entscheidergruppe.

Um zu erreichen, dass die Entscheidungen eines Attestieres automatisch in nachfolgende Entscheidungsebenen übernommen werden

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | ReuseDecision.

    Hat der Attestierer den Attestierungsvorgang in einem vorangegangenen Entscheidungsschritt positiv entschieden, wird diese Entscheidung übernommen. Hat der Attestierer in einem früheren Entscheidungsschritt negativ entschieden, wird der Attestierungsvorgang erneut zur Entscheidung vorgelegt.

Verwandte Themen

Phasen der Attestierung

Bei der Durchführung von Attestierungen kann es hilfreich sein, vorab zu prüfen, ob die korrekten Attestierungsobjekte generiert und die passenden Entscheider ermittelt werden. Dabei wird entschieden, ob das Genehmigungsverfahren wie definiert bereitgestellt und für Attestierungen genutzt werden kann oder angepasst werden muss. Eine solche Bereitstellungsphase kann bei Bedarf an den Beginn der Genehmigungsverfahren gestellt werden.

Wenn mit einer abgelehnten Attestierung der Entzug von Berechtigungen verbunden ist, kann den betroffenen Identitäten die Möglichkeit eingeräumt werden, die Ablehnung anzufechten und damit den Entzug der Berechtigungen zu verhindern. Eine solche Anfechtungsphase kann bei Bedarf an das Ende der Genehmigungsverfahren gestellt werden. Abhängig vom Ergebnis der Anfechtung können Berechtigungen anschließend automatisch oder manuell entzogen werden.

Genehmigungsverfahren können somit in vier Phasen eingeteilt werden:

  1. (Optional) Bereitstellen

    Verantwortliche für Attestierungen, konkret die Eigentümer der jeweiligen Attestierungsrichtlinie, erhalten hier die Möglichkeit, die Details eines Attestierungslaufs zu prüfen. Damit können Umfang und Ablauf der Attestierung beurteilt werden, bevor die Attestierung durchgeführt wird. Wenn dabei Fehler in den generierten Attestierungsvorgängen festgestellt werden, können die betroffenen Attestierungsvorgänge abgebrochen, die Fehler behoben und die Attestierung neu gestartet werden.

    Die Bereitstellungsphase kann in Genehmigungsverfahren für beliebige Attestierungsobjekte integriert werden.

  2. Attestieren

    Die Attestierung wird entsprechend dem definierten Entscheidungsworkflow durchgeführt.

  3. (Optional) Anfechten

    Wenn eine Attestierung endgültig abgelehnt wird, kann den betroffenen Identitäten die Möglichkeit gegeben werden, diese Ablehnung anzufechten. Die attestierten Identitäten haben damit die Möglichkeit ihre berechtigten Interessen anzumelden, bevor eine benötigte Berechtigung entzogen wird. So kann verhindert werden, dass beispielsweise eine kurzfristig benötigte Berechtigung durch eine zeitgesteuerte Attestierung entzogen wird und anschließend mit zusätzlichem Aufwand wieder zugewiesen werden muss.

    Eine Anfechtung ist möglich, wenn Benutzerkonten, Mitgliedschaften in Rollen und Organisationen oder Mitgliedschaften in Systemberechtigungen attestiert werden.

  4. (Optional) Berechtigungen automatisch entziehen

    Wenn eine Attestierung endgültig abgelehnt wird, kann die abgelehnte Berechtigung sofort automatisch entzogen werden. Dafür wird am Ende des Entscheidungsworkflows ein automatischer Entscheidungsschritt mit einer extern vorzunehmenden Entscheidung eingefügt.

Für alle vier Phasen werden passende Entscheidungsebenen in den Entscheidungsworkflows definiert.

Detaillierte Informationen zum Thema

Bereitstellungsphase einrichten

Für die Bereitstellungsphase wird zu Beginn des Entscheidungsworkflows eine Entscheidungsebene eingefügt, in der die Eigentümer der Attestierungsrichtlinie als Entscheider ermittelt werden. Alle Attestierungsvorgänge eines Attestierungslaufs werden somit einer einzelnen Identität (AttestationPolicy.UID_PersonOwner) oder einer Gruppe von Identitäten (AttestationPolicy.UID_AERoleOwner) zur Prüfung vorgelegt.

Die Bereitstellungsphase kann beispielsweise eingerichtet werden, wenn die Attestierungsrichtlinie oder ihre Komponenten (Attestierungsverfahren, Entscheidungsworkflow und so weiter) neu erstellt wurden und geprüft werden soll, ob sie die erwarteten Ergebnisse liefern.

Um die Bereitstellungsphase einzurichten

  1. Erstellen Sie im Manager einen neuen Entscheidungsworkflow oder bearbeiten Sie einen bestehenden Entscheidungsworkflow.

  2. Fügen Sie zu Beginn des Workflows eine neue Entscheidungsebene ein und erfassen Sie die Eigenschaften des Entscheidungsschritts.

    • Entscheidungsverfahren: PW - Eigentümer der Attestierungsrichtlinie

  3. Ziehen Sie den Verbinder Genehmigung von der Entscheidungsebene für die Prüfung zur nächsten Entscheidungsebene.

  4. Speichern Sie die Änderungen.
  5. Weisen Sie den Entscheidungsworkflow an eine Entscheidungsrichtlinie zu.

  6. Weisen Sie die Entscheidungsrichtlinie an eine Attestierungsrichtlinie zu.

  7. Weisen Sie der Attestierungsrichtlinie einen einzelnen Eigentümer oder eine Anwendungsrolle als Eigentümer zu.

  8. (Optional) Bearbeiten Sie die Stammdaten des Attestierungsverfahrens, das der Attestierungsrichtlinie zugeordnet ist.

    • Erfassen Sie auf dem Tabreiter Vorlagen im Eingabefeld Textvorlage einen Text, der die Aufgabe der Prüfer und Attestierer beschreibt.

      Beispiel:

      Für Prüfer: Enthält der Attestierungsvorgang die korrekten Daten zum Attestierungsobjekt und werden die richtigen Attestierer ermittelt?
      Für Attestierer: Sind die Daten des Attestierungsobjekts korrekt und aktuell?
  9. Speichern Sie die Änderungen.

Mit dieser Workflowkonfiguration wird die Attestierungsphase gestartet, sobald ein Eigentümer der Attestierungsrichtlinie die Bereitstellung genehmigt. Wenn der Entscheidungsschritt abgelehnt wird, wird die Attestierung für den aktuellen Attestierungsvorgang endgültig abgelehnt und notwendige Korrekturen können vorgenommen werden.

Detaillierte Informationen zum Thema
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating