Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für Behavior Driven Governance

Überblick zum Behavior Driven Governance

Behavior Driven Governance gibt IT-Administratoren und Compliance-Verantwortlichen die Möglichkeit Berechtigungen auf Grundlage des Nutzungsverhaltens zu administrieren. So können Berechtigungen, die nicht mehr benötigt werden, identifiziert und entfernt werden. Regelmäßige Überprüfungen und Rezertifizierungen dieser Berechtigungen bewirken, dass dauerhaft nur noch tatsächlich benötigte Berechtigungen vergeben sind. One Identity Manager stellt verschiedene Standard-Richtlinien und Prozesse für Behavior Driven Governance bereit.

Integration mit OneLogin

Wenn Daten von OneLogin Cloud Directory mit One Identity Manager synchronisiert werden, kann der Zugang zu OneLogin Anwendungen abhängig vom Nutzungsverhalten rezertifiziert und administriert werden. Dafür werden Informationen aus der OneLogin Änderungshistorie genutzt. Für folgende Aufgaben stehen Standard-Richtlinien bereit:

  • Ermittlung von Zugängen zu OneLogin Anwendungen, die für einen definierten Zeitraum nicht genutzt wurden

  • Ermittlung von OneLogin Anwendungen, die in einem definierten Zeitraum von niemandem genutzt wurden

  • Ermittlung von OneLogin Anwendungen, die mehr als einer OneLogin Rolle zugewiesen sind

  • Ermittlung von OneLogin Rollen, die Zugang zu mehr als einer OneLogin Anwendung gewähren

Ungenutzte Anwendungen können bei entsprechender Konfiguration automatisch entfernt werden.

Integration mit anderen Zielsystemen des Unified Namespace

Für Zielsysteme, die im Unified Namespace abgebildet sind, können über eine Standard-Unternehmensrichtlinie alle Benutzerkonten ermittelt werden, die für einen definierten Zeitraum nicht genutzt wurden. Mit diesen Informationen können Administratoren die Zugangsberechtigungen zu den Zielsystemen überprüfen und korrigieren. Sicherheitsrisiken, die mit ungenutzten, aber aktiven Benutzerkonten verbunden sind, können so verringert werden. Voraussetzung ist, dass diese Zielsysteme eine Information über die Nutzungsdauer der Benutzerkonten bereitstellen und diese Daten synchronisiert werden.

Vorausgesetzte Module

Behavior Driven Governance kann genutzt werden, wenn folgende Module installiert sind:

  • Modul Unternehmensrichtlinien

  • Modul Attestierung

  • Zielsystem Basismodul

  • OneLogin Modul

Detaillierte Informationen zum Thema

Behavior Driven Governance für OneLogin

HINWEIS: Die Funktionalität steht zur Verfügung, wenn das OneLogin Modul installiert ist.

One Identity Manager stellt verschiedene Unternehmensrichtlinien und Attestierungsrichtlinien bereit, um den Zugang zu OneLogin Anwendungen abhängig vom Nutzungsverhalten zu überprüfen und zu rezertifizieren oder zu entfernen. Folgende Szenarien können damit behandelt werden:

  • Zugänge zu OneLogin Anwendungen, die nicht genutzt werden

    OneLogin Benutzer sollten die ihnen zugewiesenen Anwendungen mindestens einmal innerhalb eines definierten Zeitraums nutzen. Wenn eine Anwendung laut Änderungshistorie in diesem Zeitraum nicht genutzt wurde, soll die Zuweisung der Anwendung an das OneLogin Benutzerkonto rezertifiziert oder gelöscht werden.

    Über eine Unternehmensrichtlinie werden alle ungenutzten Zugänge zu OneLogin Anwendungen ermittelt. Ausnahmegenehmiger werden über die betroffenen Anwendungen und Benutzerkonten informiert. Parallel dazu wird ein Rezertifizierungsverfahren gestartet. Im Lauf der Rezertifizierung erklären die Benutzer und deren Manager oder die Zielsystemverantwortlichen, ob die Anwendungen weiterhin benötigt werden. Falls nicht, kann der Zugang zu ungenutzten Anwendungen anschließend automatisch oder manuell entfernt werden.

  • OneLogin Anwendungen, die von niemandem genutzt werden

    Anwendungen sollten mindestens einmal innerhalb eines definierten Zeitraums von mindestens einem OneLogin Benutzer genutzt werden. Wenn eine Anwendung laut Änderungshistorie in diesem Zeitraum nicht genutzt wurde, können die Zuweisungen der Anwendung an OneLogin Benutzerkonten rezertifiziert oder gelöscht werden.

    Über eine Unternehmensrichtlinie werden alle ungenutzten OneLogin Anwendungen ermittelt. Ausnahmegenehmiger werden über die betroffenen Anwendungen informiert. Über eine Rezertifizierung kann geklärt werden, ob die Anwendungen noch benötigt werden. Der Zugang zu ungenutzten Anwendungen kann anschließend automatisch oder manuell entfernt werden.

  • Nicht eindeutige Zuordnung von OneLogin Anwendungen an OneLogin Rollen

    Der Zugang von OneLogin Benutzern zu Anwendungen wird über Rollen geregelt. Wenn der Zugang entfernt werden soll, muss die Zuweisung der OneLogin Rollen an die Benutzerkonten entfernt werden. Um dabei keine anderen, gegebenenfalls noch benötigten Berechtigungen zu entfernen, darf den Rollen nur genau eine Anwendung zugewiesen sein. Wenn die Zuordnung von Anwendungen zu Rollen eindeutig ist, können ungenutzte Zugänge zu Anwendungen automatisch entfernt werden.

    Über Unternehmensrichtlinien werden alle OneLogin Rollen ermittelt, denen mehr als eine Anwendung zugewiesen ist, sowie alle Anwendungen, die mehr als einer Rolle zugewiesen sind. Ausnahmegenehmiger werden über die betroffenen Rollen und Anwendungen informiert und können geeignete Maßnahmen veranlassen.

Nach welchem Zeitraum Anwendungen als ungenutzt betrachtet werden, ist im Konfigurationsparameter TargetSystem | OneLogin | UnusedApplicationThresholdInDays festgelegt. Der Standardwert ist 90 Tage.

Ausführliche Informationen zur Abbildung von OneLogin Anwendungen, OneLogin Benutzerkonten und OneLogin Rollen finden Sie im One Identity Manager Administrationshandbuch für die Integration mit OneLogin Cloud Directory.

Detaillierte Informationen zum Thema
Verwandte Themen

Voraussetzungen für den automatischen Entzug ungenutzter OneLogin Anwendungen

Um den Zugriff von OneLogin Benutzerkonten auf OneLogin Anwendungen automatisch zu entfernen, ermittelt One Identity Manager die OneLogin Rollen, über welche die Anwendungen zugewiesen wurden. Wenn einer so ermittelten Rolle genau nur die ungenutzte Anwendung zugewiesen ist, kann die Mitgliedschaft des Benutzerkontos in der Rolle entfernt werden. Damit verliert das Benutzerkonto den Zugang zu der Anwendung. Wenn einer OneLogin Rolle mehrere Anwendungen zugewiesen sind, wird die Mitgliedschaft nicht automatisch gelöscht, um sicherzustellen, dass der Zugang zu allen anderen Anwendungen in dieser Rolle erhalten bleibt.

HINWEIS: Direkte Zuweisungen von Anwendungen an Benutzerkonten können im One Identity Manager nicht entfernt werden. Direkte Zuweisungen müssen nach negativer Attestierung im Zielsystem manuell entfernt werden.

Voraussetzungen

Um ungenutzte Anwendungen zu ermitteln und zu rezertifizieren, müssen folgende Voraussetzungen gegeben sein:

  • Die OneLogin Änderungshistorie wird synchronisiert. Es werden mindestens Ereignisse mit den Typen 5, 6, 7, 8, 11, 22, 29 synchronisiert (event_type_id=5,6,7,8,11,22,29).

  • Der Konfigurationsparameter TargetSystem | OneLogin | UnusedApplicationThresholdInDays ist aktiviert. Der Wert gibt an, nach wieviel Tagen ohne Zugriff eine OneLogin Anwendung als ungenutzt betrachtet wird.

  • Den Identitäten, die mit den Benutzerkonten verbunden sind, muss ein Manager zugeordnet sein.

  • Es müssen Zielsystemverantwortliche für OneLogin festgelegt sein.

Um den Zugang zu ungenutzten Anwendungen automatisch zu entfernen, müssen folgende Voraussetzungen geschaffen werden:

  • OneLogin Anwendungen sind ausschließlich über OneLogin Rollen an die Benutzerkonten zugewiesen. Nur diese Zuweisungen können im One Identity Manager automatisch oder manuell entfernt werden.

  • An OneLogin Rollen ist jeweils nur eine OneLogin Anwendung zugewiesen.

    TIPP: Nutzen Sie die Unternehmensrichtlinie Allen OneLogin Rollen ist nur eine OneLogin Anwendung zugewiesen, um Rollen mit mehreren Anwendungen zu identifizieren.

Detaillierte Informationen zum Thema

Ungenutzte Zugänge zu OneLogin Anwendungen ermitteln

OneLogin Benutzer sollten die ihnen zugewiesenen Anwendungen mindestens einmal innerhalb eines definierten Zeitraums nutzen. Über eine Standard-Unternehmensrichtlinie werden alle Zuweisungen von OneLogin Anwendungen an Benutzerkonten, die laut Änderungshistorie in diesem Zeitraum nicht genutzt wurden, ermittelt. Ausnahmegenehmiger werden über die betroffenen Anwendungen und Benutzerkonten informiert. Parallel dazu wird ein Rezertifizierungsverfahren gestartet. Im Lauf der Rezertifizierung erklären die Benutzer und deren Manager oder die Zielsystemverantwortlichen, ob die Anwendungen weiterhin benötigt werden. Falls nicht, kann der Zugang zu ungenutzten Anwendungen anschließend automatisch oder manuell entfernt werden.

Zuweisungen werden als ungenutzt identifiziert, wenn folgende Bedingungen zutreffen:

  • Die Zuweisung ist wirksam (OLGUserHasApplication.XIsInEffect=1).

  • Der OneLogin Benutzer hat sich mindestens einmal an OneLogin angemeldet (OLGUser.LastLogin).

  • Die Zeitspanne zwischen dem letzten Anmeldedatum an der Anwendung (OLGEvent.CreatedAt) und dem aktuellen Datum ist größer oder gleich dem Wert des Konfigurationsparameters TargetSystem | OneLogin | UnusedApplicationThresholdInDays.

    - ODER -

    In der Änderungshistorie gibt kein Anmeldedatum an der Anwendung für das Benutzerkonto. Der Benutzer hat die Anwendung folglich noch nie genutzt.

Um ungenutzte Zuweisungen zu ermitteln und zu rezertifizieren

  1. (Optional) Konfigurieren Sie den automatischen Entzug von Berechtigungen.

    Abhängig vom Verfahren, mit dem OneLogin Benutzerkonten an OneLogin Rollen zugewiesen werden (direkt, per IT Shop-Bestellung, über hierarchische Rollen oder Systemrollen), müssen verschiedene Konfigurationsparameter aktiviert werden. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für Attestierungen.

  2. (Optional) Prüfen Sie, ob Benachrichtigungen über Richtlinienverletzungen und Benachrichtigungen im Attestierungsvorgang eingerichtet sind.

    Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für Unternehmensrichtlinien und im One Identity Manager Administrationshandbuch für Attestierungen.

  3. (Optional) Weisen Sie der Anwendungsrolle Identity & Access Governance | Unternehmensrichtlinien | Ausnahmegenehmiger die Identitäten zu, die über ungenutzte OneLogin Anwendungen informiert werden sollen und gegebenenfalls Ausnahmen genehmigen dürfen.

  1. (Optional) Um für die Rezertifizierung den Zeitraum zu ändern, nachdem eine Anwendung als ungenutzt behandelt wird, bearbeiten Sie die Attestierungsrichtlinie Attestierung von ungenutzten Zugängen zu OneLogin Anwendungen im Web Portal.

    • Bearbeiten Sie die Bedingung Ungenutzt für x Tage und ändern Sie die Anzahl der Tage.

    Ausführliche Informationen dazu finden Sie im One Identity Manager Web Portal Anwenderhandbuch.

  2. Aktivieren Sie die Arbeitskopie der Unternehmensrichtlinie Zugänge zu OneLogin Anwendungen werden regelmäßig genutzt.

    Die Richtlinienprüfung wird anschließend gestartet.

    TIPP: Wenn bereits eine aktive Unternehmensrichtlinie vorhanden ist, können Sie die Richtlinienprüfung über die Aufgabe Richtlinie neu berechnen starten.

    Durch den hinterlegten Zeitplan wird die Richtlinienprüfung einmal monatlich gestartet.

    HINWEIS: Wenn Sie verhindern wollen, dass neue Richtlinienverletzungen sofort attestiert werden sollen, deaktivieren Sie Attestierung für neue Richtlinienverletzungen sofort starten.

  3. (Optional) Um genehmigte ungenutzte Zuweisungen regelmäßig zu rezertifizieren, weisen Sie der Attestierungsrichtlinie Attestierung von ungenutzten Zugängen zu OneLogin Anwendungen einen aktivierten Zeitplan zu.

Ablauf
  1. Die Überprüfung der Unternehmensrichtlinie Zugänge zu OneLogin Anwendungen werden regelmäßig genutzt wird zeitgesteuert oder über die Aufgabe Richtlinie neu berechnen im Manager gestartet.

    • Es werden alle Zuweisungen von OneLogin Anwendungen an Benutzerkonten ermittelt, bei denen sich das Benutzerkonto entweder noch nie oder nicht innerhalb der festgelegten Zeitspanne angemeldet hat.

    • Ausnahmegenehmiger werden per E-Mail über die Richtlinienverletzungen benachrichtigt.

  2. Für jede Zuweisung, welche die Richtlinie verletzt, wird automatisch eine Attestierung mit der Attestierungsrichtlinie Attestierung von ungenutzten Zugängen zu OneLogin Anwendungen gestartet.

    Entscheidungsverlauf:

    1. Es wird geprüft, ob das Benutzerkonto mit einer Identität verbunden ist

      • Wenn nicht, wird die Zuweisung den Zielsystemverantwortlichen zur Attestierung vorgelegt.

    2. Die verbundene Identität bestätigt, ob die zugewiesene Anwendung benötigt wird.

    3. Der Manager der verbundenen Identität entscheidet, ob die Zuweisung erhalten bleiben soll.

    4. Wenn in einer Entscheidungsebene die Attestierung abgelehnt wurde, wird geprüft, ob die Zuweisung automatisch entfernt werden kann. Es werden alle OneLogin Rollen ermittelt, über welche die Anwendungen an das Benutzerkonto zugewiesen sind.

      • Wenn einer Rolle keine anderen Anwendungen zugewiesen sind, wird der automatische Entzug dieser Rolle initiiert. Dabei wird die Zuweisung der Rolle an das Benutzerkonto entfernt und die Änderung wird in das Zielsystem provisioniert. Damit wird dem OneLogin Benutzer die Berechtigung zur Nutzung der Anwendung entzogen.

        Mit der folgenden Synchronisation wird die Zuweisung der Anwendung an das Benutzerkonto, je nach Konfiguration der Synchronisation, in der One Identity Manager-Datenbank als ausstehend markiert oder gelöscht. Führen Sie einen Zielsystemabgleich durch, um ausstehende Zuweisungen endgültig zu löschen.

    5. Wenn die Anwendung direkt an das Benutzerkonto zugewiesen ist oder über eine OneLogin Rolle Zugang zu mehreren Anwendungen gewährt wird, wird der Attestierungsvorgang den Zielsystemverantwortlichen zur finalen Bearbeitung vorgelegt.

      • Wenn die Zielsystemverantwortlichen die Attestierung ablehnen, müssen sie dafür sorgen, dass die Zuweisungen manuell entfernt werden.

Wenn der Manager oder die Zielsystemverantwortlichen die Attestierung genehmigt haben, bleibt die Zuweisung erhalten. Wenn die Zuweisung bei der folgenden zyklischen oder manuellen Prüfung erneut als ungenutzt erkannt wird, wird sie den Attestierern erneut zur Prüfung vorgelegt.

Verwandte Themen
Self Service Tools
Knowledge Base
Notifications & Alerts
Product Support
Software Downloads
Technical Documentation
User Forums
Video Tutorials
RSS Feed
Contact Us
Licensing Assistance
Technical Support
View All
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating