Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Einschränken der Attestierungsobjekte für die Rezertifizierung

Wichtig: Für unternehmensspezifische Anpassungen der Standardattestierung Rezertifizierung von Benutzern sind Änderungen an One Identity Manager-Objekten erforderlich. Nutzen Sie für diese Änderungen immer eine unternehmensspezifische Kopie des jeweiligen Objekts.

Über die im One Identity Manager bereitgestellte Attestierungsrichtlinie Rezertifizierung von Benutzern werden alle in der Datenbank gespeicherten Identitäten rezertifiziert. Es kann notwendig sein, die Rezertifizierung von Benutzern auf bestimmte Identitätengruppen einzuschränken, beispielsweise wenn nur die Identitäten einer bestimmten Abteilung rezertifiziert werden sollen. Dafür können Sie die Bedingung an der Attestierungsrichtlinie erweitern. Erstellen Sie dafür eine unternehmensspezifische Attestierungsrichtlinie.

Damit die Rezertifizierung von Benutzern mit dieser Attestierungsrichtlinie durch geführt werden kann, müssen folgende Objekte angepasst werden. Erstellen Sie dafür immer eine Kopie des jeweiligen Objekts.

  • Attestierungsrichtlinie Rezertifizierung von Benutzern

  • Prozess VI_Attestation_AttestationCase_Person_Approval_Granted

  • Prozess VI_Attestation_AttestationCase_Person_Approval_Dismissed

Wichtig: Damit die Rezertifizierung im Web Portal fehlerfrei durchgeführt werden kann, müssen der Attestierungsrichtlinie das Standard-Attestierungsverfahren Zertifizierung von Benutzern und die Standard-Entscheidungsrichtlinie Zertifizierung von Benutzern zugeordnet sein.

Das Standard-Attestierungsverfahren, die Standard-Entscheidungsrichtlinie und der Standard-Entscheidungsworkflow Zertifizierung von Benutzern dürfen nicht verändert werden.

Um die standardmäßige Rezertifizierung von Benutzern unternehmensspezifisch anzupassen

  1. Kopieren Sie die Attestierungsrichtlinie Rezertifizierung von Benutzern und passen Sie die Kopie an.

    Tabelle 61: Eigenschaften der Attestierungsrichtlinie

    Eigenschaft

    Wert

    Attestierungsverfahren

    Zertifizierung von Benutzern

    Entscheidungsrichtlinie

    Zertifizierung von Benutzern

    Bedingung bearbeiten

    Die Standardbedingung muss unverändert übernommen werden, damit die korrekten Attestierungsobjekte ausgewählt werden.

    Um die Menge der Attestierungsobjekte einzuschränken, kann die Datenbankabfrage um zusätzliche Teilbedingungen erweitert werden.

  2. Kopieren Sie im Designer den Prozess VI_Attestation_AttestationCase_Person_Approval_Granted des Basisobjekts AttestationCase und passen Sie die Kopie an.

    Tabelle 62: Prozesseigenschaften mit Änderungen

    Prozesseigenschaft

    Änderung

    Prä-Skript zur Generierung

    Ersetzen Sie die UID der Attestierungsrichtlinie Rezertifizierung von Benutzern durch die UID der neuen Attestierungsrichtlinie.

    Generierungsbedingung

  3. Kopieren Sie im Designer den Prozess VI_Attestation_AttestationCase_Person_Approval_Dismissed des Basisobjekts AttestationCase und passen Sie die Kopie an.

    Tabelle 63: Prozesseigenschaften mit Änderungen

    Prozesseigenschaft

    Änderung

    Prä-Skript zur Generierung

    Ersetzen Sie die UID der Attestierungsrichtlinie Rezertifizierung von Benutzern durch die UID der neuen Attestierungsrichtlinie.

    Generierungsbedingung

Ausführliche Informationen zum Bearbeiten von Prozessen finden Sie im One Identity Manager Konfigurationshandbuch.

Detaillierte Informationen zum Thema

Zertifizierung neuer Rollen und Organisationen

HINWEIS: Die Funktionalität steht zur Verfügung, wenn das Zielsystem Basismodul installiert ist.

Der One Identity Manager stellt Standardverfahren bereit, über welche die Stammdaten von Anwendungsrollen, Geschäftsrollen und Organisationen, die neu in die One Identity Manager-Datenbank aufgenommen wurden, zeitnah durch deren Manager attestiert und zertifiziert werden. Die Attestierung wird nur für Rollen und Organisationen mit dem Zertifizierungsstatus Neu durchgeführt. Wenn die Attestierung genehmigt wird, wird der Zertifizierungsstatus der attestierten Rolle oder Organisation auf Zertifiziert gesetzt, andernfalls auf Abgelehnt.

Die Attestierung wird durchgeführt, wenn eine neue Rolle oder Organisation im Manager oder im Web Portal angelegt wird oder in die One Identity Manager-Datenbank importiert wird. Für die Rolle oder Organisation darf keine Datenquelle Import hinterlegt sein.

HINWEIS: Im Anschluss an die Attestierung wird der Zertifizierungsstatus geändert. Wurde die Attestierung genehmigt, wird die Option Keine Vererbung an Identitäten deaktiviert.

Wenn die Attestierung abgelehnt wurde, wird nur der Zertifizierungsstatus geändert. Weitere Verhaltensänderungen, beispielsweise in der Vererbungsberechnung, sind damit nicht verbunden und können unternehmensspezifisch implementiert werden.

Detaillierte Informationen zum Thema
Verwandte Themen

One Identity Manager Benutzer für die Zertifizierung von Rollen und Organisationen

In die Zertifizierung von Rollen und Organisationen sind folgende Benutzer eingebunden.

Tabelle 64: Benutzer

Benutzer

Aufgaben

Administratoren für Organisationen

Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Erstellen und Bearbeiten die Abteilungen, Kostenstellen und Standorte.

  • Weisen Unternehmensressourcen an die Abteilungen, Kostenstellen und Standorte zu.

  • Attestieren die Stammdaten von Abteilungen, Kostenstellen und Standorten.

  • Administrieren die Anwendungsrollen für Genehmiger, Genehmiger (IT) und Attestierer.

  • Richten bei Bedarf weitere Anwendungsrollen ein.

Administratoren für Geschäftsrollen

Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Erstellen und Bearbeiten die Geschäftsrollen.

  • Weisen Unternehmensressourcen an die Geschäftsrollen zu.

  • Attestieren die Stammdaten von Geschäftsrollen.

  • Administrieren die Anwendungsrollen für Genehmiger, Genehmiger (IT) und Attestierer.

  • Richten bei Bedarf weitere Anwendungsrollen ein.

Administratoren für Basisfunktionen

Die Administratoren müssen der Anwendungsrolle Basisrollen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für Administratoren.

  • Ordnen Identitäten in die Anwendungsrollen für Administratoren ein.

  • Können weitere Identitäten in die Anwendungsrolle Basisrollen | Administratoren aufnehmen und widersprechende Anwendungsrollen bearbeiten.

  • Sehen die Stammdaten aller übrigen Anwendungsrollen.

  • Attestieren die Stammdaten von Anwendungsrollen.

  • Können über das Kennwortrücksetzungsportal für ausgewählte Systembenutzer Kennwörter setzen.

Manager

  • Prüfen die Stammdaten der zu zertifizierenden Rollen und Organisationen.
  • Ordnen gegebenenfalls einen anderen Manager zu.
  • Attestieren die Stammdaten.

Administratoren für Attestierungsvorgänge

Administratoren für die Attestierungsvorgänge müssen der Anwendungsrolle Identity & Access Governance | Attestierung | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Passen gegebenenfalls die Attestierungsrichtlinien an.

  • Erstellen bei Bedarf weitere Zeitpläne.

Detaillierte Informationen zum Thema

Zertifizierung neuer Abteilungen konfigurieren

Die Attestierung und Zertifizierung wird für Abteilungen mit dem Zertifizierungsstatus Neu gestartet, wenn folgende Voraussetzungen geschaffen sind.

Um neue Abteilungen zu zertifizieren

  1. Aktivieren Sie im Designer die Konfigurationsparameter QER | Attestation | DepartmentApproval und QER | Attestation | DepartmentApproval | InitialApprovalState.

  2. Setzen Sie den Wert des Konfigurationsparameters InitialApprovalState auf 1.

    Alle Abteilungen, die ab diesem Zeitpunkt neu in der Datenbank angelegt werden, erhalten den Zertifizierungsstatus Neu.

  3. Bearbeiten Sie im Manager die Stammdaten der Attestierungsrichtlinie Zertifizierung neuer Abteilungen.

    • Zeitplan der Berechnung: Zeitplan, nach dem die Attestierung gestartet werden soll.

    • Deaktiviert: Deaktiviert

  4. Weisen Sie im Manager der Anwendungsrolle Identity Management | Organisationen | Administratoren mindestens eine Identität zu.

  5. Speichern Sie die Änderungen.

Die Attestierung importierter Abteilungen wird ausgelöst, wenn

  • der initiale Zertifizierungsstatus über den Konfigurationsparameter InitialApprovalState auf Neu gesetzt wurde

    - ODER -

    der Import Department.ApprovalState='1' setzt

  • keine Datenquelle Import an der Abteilung hinterlegt ist (Department.ImportSource='').

Die Option Keine Vererbung an Identitäten (Department.IsNoInheriteToPerson) wird durch den Prozess VI_Attestation_AttestationCase_Department_Approval_Granted deaktiviert.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating