Peer-Gruppen-Analyse für Attestierungen konfigurieren
Um die Peer-Gruppen-Analyse zu konfigurieren
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis.
-
Aktivieren Sie mindestens einen der folgenden Konfigurationsparameter:
-
QER | Attestation | PeerGroupAnalysis | IncludeManager: Identitäten, die denselben Manager haben, wie die mit dem Attestierungsobjekt verbundene Identität.
-
QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Identitäten, die derselben primären Abteilung angehören, wie die mit dem Attestierungsobjekt verbundene Identität.
-
QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Identitäten, deren sekundäre Abteilung der primären oder sekundären Abteilung der Identität entspricht, die mit dem Attestierungsobjekt verbunden ist.
Damit legen Sie fest, welche Identitäten zur Peer-Gruppe gehören. Es können auch zwei oder alle Konfigurationsparameter aktiviert werden.
-
Um den Schwellwert für die Peer-Gruppe festzulegen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold und legen Sie einen Wert zwischen 0 und 1 fest.
Der Standardwert ist 0,9. Das heißt, mindestens 90% der Mitglieder der Peer-Gruppe müssen die zu attestierende Mitgliedschaft bereits besitzen, damit der Attestierungsvorgang genehmigt wird.
-
(Optional) Um zu prüfen, ob die zu attestierende Mitgliedschaft funktionsfremd ist, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.
-
Stellen Sie sicher, dass folgende Bedingungen erfüllt sind:
-
Die zu attestierende Identität und die Mitglieder der Peer-Gruppe haben die Zuweisung oder Mitgliedschaft im IT Shop bestellt.
-
Der zu attestierenden Identität ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.
-
Der Leistungsposition, die der Zuweisung oder Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.
Es werden nur Unternehmensbereiche berücksichtigt, die den Leistungspositionen primär zugewiesen sind.
Ausführliche Informationen zur Bearbeitung von Leistungspositionen finden Sie im One Identity Manager Administrationshandbuch für IT Shop. Ausführliche Informationen zu Unternehmensbereichen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
-
Erstellen Sie im Manager einen Entscheidungsworkflow mit mindestens einer Entscheidungsebene. Für den Entscheidungsschritt erfassen Sie mindestens folgende Daten:
-
Einzelschritt: EXWithPeerGroupAnalysis.
-
Entscheidungsverfahren: EX
-
Ereignis: PeerGroupAnalysis
Das Ereignis startet den Prozess ATT_AttestationCase_Peer group analysis, welcher das Skript ATT_PeerGroupAnalysis_for_Attestation ausführt.
Das Skript führt eine automatische Entscheidung aus und setzt den Typ des Entscheidungsschritts auf Zustimmung oder Ablehnung.
Detaillierte Informationen zum Thema
Verwandte Themen
Entscheidungsempfehlungen für Attestierungen
Eine Möglichkeit Genehmigungsverfahren zu beschleunigen, indem Attestierungen automatisch genehmigt werden, ist die Entscheidungsempfehlung. Dabei wird anhand verschiedener Kriterien ermittelt, ob eine Attestierung eher genehmigt oder abgelehnt werden sollte. Basierend auf der Empfehlung können die Attestierungen automatisch genehmigt werden. Wenn eine Ablehnung empfohlen wird oder keine eindeutige Empfehlung gegeben werden kann, müssen die Attestierungen zusätzlichen Attestierern vorgelegt werden. Diesen Attestierern werden die Entscheidungsempfehlung und die Details der Empfehlung angezeigt, sodass sie mit Hilfe dieser Informationen eine Entscheidung treffen können.
Detaillierte Informationen zum Thema
Kriterien für Entscheidungsempfehlungen für Attestierungen
Für Entscheidungsempfehlungen werden verschiedene Kriterien ausgewertet. Welche Kriterien angewendet werden können, ist abhängig vom zu attestierenden Objekt. Beispielsweise kann der Zeitpunkt der letzten Anmeldung eines Benutzerkontos am Zielsystem nur bei der Attestierung von Benutzerkonten oder Zuweisungen von Benutzerkonten an Systemberechtigungen ausgewertet werden. Bei anderen Attestierungsobjekten ist dieses Kriterium nicht anwendbar. Nicht anwendbare Kriterien haben keinen Einfluss auf das Ergebnis der Empfehlung.
Die folgenden Kriterien werden ausgewertet, wenn Empfehlungen für die Entscheidung von Attestierungsvorgängen ermittelt werden.
-
Peer-Gruppen-Faktor
Der Peer-Gruppen-Faktor setzt voraus, dass alle Mitglieder einer Peer-Gruppe die gleichen Systemberechtigungen oder sekundären Mitgliedschaften benötigen. Wenn also eine große Mehrheit der Identitäten in einer Abteilung eine bestimmte Systemberechtigung besitzt, kann deren Zuweisung an eine andere Identität dieser Abteilung genehmigt werden.
Welcher Anteil der Identitäten einer Peer-Gruppe die zu attestierende Zuweisung oder Mitgliedschaft bereits besitzen muss, wird über einen Schwellwert im Konfigurationsparameter QER | Attestation | Recommendation | PeerGroupThreshold festgelegt. Der Schwellwert gibt das Verhältnis zwischen der Gesamtzahl der Identitäten in der Peer-Gruppe und der Anzahl der Identitäten in der Peer-Gruppe, welche diese Zuweisung oder Mitgliedschaft bereits besitzen, an.
Als Peer-Gruppe werden alle Identitäten zusammengefasst, die denselben Manager haben oder die derselben primären oder sekundären Abteilung angehören, wie die Identität, die mit dem Attestierungsobjekt verbunden ist (= zu attestierende Identität). Welche Identitäten zu einer Peer-Gruppe zusammengefasst werden, wird über Konfigurationsparameter festgelegt. Es muss mindestens einer der folgenden Konfigurationsparameter aktiviert sein.
-
QER | Attestation | PeerGroupAnalysis | IncludeManager: Identitäten, die denselben Manager haben, wie die zu attestierende Identität
-
QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Identitäten, die derselben primären Abteilung angehören, wie die zu attestierende Identität
-
QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Identitäten, deren sekundäre Abteilung der primären oder sekundären Abteilung der zu attestierenden Identität entspricht
Dieses Kriterium wird nur bei folgenden Attestierungen ausgewertet:
- Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup), wenn das Benutzerkonto mit einer Identität verbunden ist
- Sekundäre Mitgliedschaften in Rollen und Organisationen (Tabelle PersonInBaseTree und deren Ableitungen)
-
Zugewiesener Unternehmensbereich
Es wird überprüft, ob der zu attestierenden Zuweisung oder Mitgliedschaft und der primären Abteilung der zu attestierenden Identität derselbe Unternehmensbereich zugewiesen ist. Ist das nicht der Fall, wird die Zuweisung oder Mitgliedschaft als funktionsfremd betrachtet. Ob eine Zuweisung oder Mitgliedschaft funktionsfremd ist, kann nur geprüft werden, wenn folgende Bedingungen erfüllt sind:
-
Die zu attestierende Identität und die Mitglieder der Peer-Gruppe haben die Zuweisung oder Mitgliedschaft im IT Shop bestellt.
-
Der zu attestierenden Identität ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.
-
Der Leistungsposition, die der Zuweisung oder Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.
Dieses Kriterium wird nur bei folgenden Attestierungen ausgewertet:
- Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup), wenn das Benutzerkonto mit einer Identität verbunden ist
- Sekundäre Mitgliedschaften in Rollen und Organisationen (Tabelle PersonInBaseTree und deren Ableitungen)
-
Verletzung von Complianceregeln
Es wird überprüft, ob das Attestierungsobjekt bei Genehmigung der Attestierung bestehende Complianceregeln verletzen würde. Sobald eine Regelverletzung erkannt wird, wird die Ablehnung der Attestierung empfohlen.
Dieses Kriterium wird bei allen Attestierungsobjekten ausgewertet.
-
Risikofaktor
Es wird der Risikoindex des Attestierungsobjekts ermittelt. Wenn dieser Risikoindex einen definierten Schwellwert übersteigt, wird die Ablehnung empfohlen. Der Schwellwert wird im Konfigurationsparameter QER | Attestation | Recommendation | RiskIndexThreshold festgelegt.
Dieses Kriterium wird bei allen Attestierungsobjekten ausgewertet, für die ein Risikoindex vorhanden ist (Spalte RiskIndex oder RiskIndexCalculated).
-
Genehmigungsrate
Es wird der Anteil an Genehmigungen für das Attestierungsobjekt bei früheren Attestierungen ermittelt. Dafür werden im Entscheidungsverlauf (AttestationHistory) alle Entscheidungsverfahren mit manuellen Entscheidungen ermittelt, die auch in dem aktuell ausgeführten Entscheidungsworkflow eingesetzt werden. Aus diesen Einträgen im Entscheidungsverlauf wird der Anteil an Genehmigungen für dasselbe Attestierungsobjekt ermittelt.
Wenn die Genehmigungsrate einen definierten Schwellwert übersteigt, wird die Genehmigung empfohlen. Der Schwellwert wird im Konfigurationsparameter QER | Attestation | Recommendation | ApprovalRateThreshold festgelegt.
Dieses Kriterium wird bei allen Attestierungsobjekten ausgewertet, die zuvor bereits attestiert wurden.
-
Zuweisungsrate
Es wird die Anzahl der Zuweisungen von Unternehmensressourcen an die attestierte Identität ermittelt (aus PersonHasObject) und mit der durchschnittlichen Anzahl pro Identität verglichen. Wenn die Zuweisungsrate kleiner als der Durchschnitt pro Identität ist, wird die Ablehnung empfohlen.
Dieses Kriterium wird nur bei der Attestierung von Identitäten (Tabelle Person) ausgewertet.
-
Zeitpunkt der letzten Anmeldung
Es wird der Zeitpunkt der letzten Anmeldung mit dem Benutzerkonto ermittelt (aus UNSAccount.LastLogon). Wenn die Anmeldung länger als eine definierte Anzahl an Tagen zurückliegt, wird die Ablehnung empfohlen. Die Anzahl an Tagen wird im Konfigurationsparameter QER | Attestation | Recommendation | UnusedDaysThreshold festgelegt.
Dieses Kriterium wird nur bei der Attestierung von Benutzerkonten (beispielsweise Tabelle UNSAccount) oder Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup) ausgewertet, wenn die Spalte LastLogon an der Benutzerkontentabelle vorhanden ist.
Empfehlung zur Genehmigung
Alle anwendbaren Kriterien sind erfüllt. Das heißt:
-
Die Peer-Gruppe hat Mitglieder und der Peer-Gruppen-Faktor ist größer als der Schwellwert (PeerGroupThreshold).
-
Attestierungsobjekt und primäre Abteilung der attestierten Identität gehören zum selben Unternehmensbereich. Das Attestierungsobjekt ist somit nicht funktionsfremd.
-
Es gibt keine Regelverletzungen.
-
Der Risikoindex des Attestierungsobjekts ist kleiner als der Schwellwert (RiskIndexThreshold).
-
Die Genehmigungsrate ist größer als der Schwellwert (ApprovalRateThreshold).
-
Die Zuweisungsrate ist größer als der Durchschnitt.
-
Die letzte Anmeldung liegt weniger als die definierte Anzahl an Tagen zurück (UnusedDaysThreshold ) und es ist ein Zeitpunkt für die letzte Anmeldung erfasst.
Empfehlung zur Ablehnung
Mindestens eins der folgenden Kriterien gilt, wenn es anwendbar ist.
-
Die Peer-Gruppe hat keine Mitglieder oder der Peer-Gruppen-Faktor ist kleiner als der Schwellwert (PeerGroupThreshold).
-
Es gibt mindestens eine Regelverletzung.
-
Die Zuweisungsrate ist kleiner als der Durchschnitt.
Wenn mindestens zwei der folgenden anwendbaren Kriterien gelten, wird ebenfalls die Ablehnung empfohlen.
-
Das Produkt ist funktionsfremd.
-
Der Risikoindex des Attestierungsobjekts ist größer als der Schwellwert (RiskIndexThreshold).
-
Die Genehmigungsrate ist kleiner als der Schwellwert (ApprovalRateThreshold).
-
Die letzte Anmeldung liegt länger als die definierte Anzahl an Tagen zurück (UnusedDaysThreshold ) oder es ist kein Zeitpunkt für die letzte Anmeldung erfasst.
In allen anderen Fällen wird keine Empfehlung gegeben.
Verwandte Themen
Entscheidungsempfehlungen für Attestierungen konfigurieren
Um Entscheidungsempfehlungen zu nutzen, fügen Sie in die Entscheidungsworkflows eine zusätzliche Entscheidungsebene ein und konfigurieren Sie die Schwellwerte. Basierend auf der Empfehlung können die Attestierungen automatisch genehmigt werden. Wenn eine Ablehnung empfohlen wird oder keine eindeutige Empfehlung gegeben werden kann, müssen die Attestierungen zusätzlichen Attestierern vorgelegt werden. Wenn Attestierungen nicht automatisch genehmigt werden sollen, definieren Sie eine manuelle Entscheidungsebene auch für den Fall, dass die Genehmigung empfohlen wird.
Den Attestierern wird die Entscheidungsempfehlung angezeigt. Sie können der Empfehlung folgen oder unabhängig davon eine eigene Entscheidung treffen.
TIPP: Für Entscheidungsempfehlungen mit automatischer Genehmigung stellt One Identity Manager den Beispielworkflow Attestierung durch den Manager der Identität (mit Entscheidungsempfehlung) bereit. Sie können diesen Entscheidungsworkflow als Vorlage nutzen und an Ihre Erfordernisse anpassen. Kopieren Sie dafür den Workflow und fügen Sie Entscheidungsebenen mit manuellen Entscheidungsschritten hinzu.
Um Entscheidungsempfehlungen zu konfigurieren
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis.
-
Aktivieren Sie mindestens einen der folgenden Konfigurationsparameter:
-
QER | Attestation | PeerGroupAnalysis | IncludeManager: Identitäten, die denselben Manager haben, wie die mit dem Attestierungsobjekt verbundene Identität.
-
QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Identitäten, die derselben primären Abteilung angehören, wie die mit dem Attestierungsobjekt verbundene Identität.
-
QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Identitäten, deren sekundäre Abteilung der primären oder sekundären Abteilung der Identität entspricht, die mit dem Attestierungsobjekt verbunden ist.
Damit legen Sie fest, welche Identitäten zur Peer-Gruppe gehören. Es können auch zwei oder alle Konfigurationsparameter aktiviert werden.
-
Legen Sie den Schwellwert für den Peer-Gruppen-Faktor im Konfigurationsparameter QER | Attestation | Recommendation | PeerGroupThreshold fest. Erfassen Sie einen Wert zwischen 0 und 1.
Der Standardwert ist 0,9. Das heißt, mehr als 90% der Mitglieder der Peer-Gruppe müssen das Attestierungsobjekt besitzen, damit die Genehmigung empfohlen wird.
-
Legen Sie den Schwellwert für den Risikofaktor im Konfigurationsparameter QER | Attestation | Recommendation | RiskIndexThreshold fest. Erfassen Sie einen Wert zwischen 0 und 1.
Der Standardwert ist 0,5. Das heißt, der Risikoindex des Attestierungsobjekts muss kleiner als 0,5 sein, damit die Genehmigung empfohlen wird.
-
Legen Sie den Schwellwert für die Genehmigungsrate im Konfigurationsparameter QER | Attestation | Recommendation | ApprovalRateThreshold fest. Erfassen Sie einen Wert zwischen 0 und 1.
Der Standardwert ist 0,5. Das heißt, wenn mehr als 50% aller früheren Attestierungsvorgänge dieses Attestierungsobjekts mit denselben Entscheidungsverfahren schon einmal genehmigt wurden, wird die Genehmigung empfohlen.
-
Legen Sie im Konfigurationsparameter QER | Attestation | Recommendation | UnusedDaysThreshold die Anzahl der Tage fest, nach denen Benutzerkonten als ungenutzt betrachtet werden sollen.
Der Standardwert ist 90. Das heißt, wenn der Zeitpunkt der letzten Anmeldung mit einem Benutzerkonto weniger als 90 Tage zurückliegt, wird die Genehmigung empfohlen.
-
Erstellen Sie im Manager einen Entscheidungsworkflow und fügen als erste Entscheidungsebene einen Entscheidungsschritt mit folgenden Daten ein:
Das Ereignis startet den Prozess ATT_AttestationCase_Recommendation, welcher das Skript ATT_AttestationCase_Recommendation ausführt. Das Skript führt eine automatische Entscheidung aus.
-
Fügen Sie eine Entscheidungsebene zur manuellen Entscheidung ein.
-
Für den Fall, dass die Ablehnung empfohlen wird oder keine Empfehlung gegeben werden kann, verbinden Sie diese Entscheidungsebene mit dem Verbindungspunkt für Ablehnung an der ersten Entscheidungsebene.
-
(Optional) Wenn die Bestellung nicht automatisch genehmigt werden soll, verbinden Sie den Verbindungspunkt für Genehmigung an der ersten Entscheidungsebene ebenfalls mit einer Entscheidungsebene zur manuellen Entscheidung. Damit müssen Attestierungsvorgänge auch dann manuell entschieden werden, wenn die Genehmigung empfohlen wird.
-
Erstellen Sie eine Entscheidungsrichtlinie und ordnen Sie diesen Entscheidungsworkflow zu.
Verwandte Themen