Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Vordefinierte Standardbegründungen für Attestierungen

Der One Identity Manager stellt vordefinierte Standardbegründungen bereit. Diese Standardbegründungen werden bei automatischen Entscheidungen durch den One Identity Manager am Attestierungsvorgang eingetragen. Über den Nutzungstyp können Sie festlegen, welche Standardbegründungen im Web Portal ausgewählt werden können.

Um den Nutzungstyp zu ändern

  1. Wählen Sie im Manager die Kategorie Attestierung > Basisdaten > Standardbegründungen > Vordefiniert.

  2. Wählen Sie die Standardbegründung, deren Nutzungstyp Sie ändern möchten.

  3. Führen Sie die Aufgabe Stammdaten bearbeiten aus.

  4. Aktivieren Sie im Auswahlfeld Nutzungtyp alle Funktionen, für welche die Standardbegründung im Web Portal angezeigt werden soll.

    Deaktivieren Sie alle Funktionen, für welche die Standardbegründung nicht angezeigt werden soll.

  5. Speichern Sie die Änderungen.
Verwandte Themen

Attestierungsrichtlinien

Attestierungsrichtlinien legen die konkreten Bedingungen für Attestierungen fest. Auf dem Stammdatenformular stellen Sie Attestierungsverfahren, Entscheidungsrichtlinie und Zeitplan für die Attestierung zusammen. Über eine Where-Klausel können Sie die Attestierungsobjekte einschränken.

Um Attestierungsrichtlinien zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Attestierung > Attestierungsrichtlinien.

  2. Wählen Sie in der Ergebnisliste eine Attestierungsrichtlinie und führen Sie die Aufgabe Stammdaten bearbeiten aus.

    - ODER -

    Klicken Sie in der Ergebnisliste .

  3. Bearbeiten Sie die Stammdaten der Attestierungsrichtlinie.

  4. Speichern Sie die Änderungen.

Allgemeine Stammdaten von Attestierungsrichtlinien

Für Attestierungsrichtlinien erfassen Sie folgende Daten.

Tabelle 11: Allgemeine Stammdaten einer Attestierungsrichtlinie

Eigenschaft

Beschreibung

Attestierungsrichtlinie

Bezeichnung der Attestierungsrichtlinie.

Attestierungsverfahren

Attestierungsverfahren, das für die Attestierung genutzt werden soll. Die Attestierungsverfahren werden in der Auswahlliste nach Attestierungstypen gruppiert angezeigt.

Entscheidungsrichtlinie

Entscheidungsrichtlinie, nach der die Attestierer für die Attestierungsobjekte ermittelt werden sollen.

Eigentümer

Ersteller der Attestierungsrichtlinie. Standardmäßig wird der Name des am One Identity Manager angemeldeten Benutzers eingetragen. Der Eigentümer kann geändert werden.

Eigentümer (Anwendungsrolle)

Anwendungsrolle, deren Mitglieder die Attestierungsrichtlinie bearbeiten dürfen.

Um eine neue Anwendungsrolle zu erstellen, klicken Sie . Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle zu.

Richtlinienverbund

Richtlinienverbund, durch den die Attestierung gestartet wird.

Über Richtlinienverbunde werden verschiedene Attestierungsrichtlinien zusammengefasst und gemeinsam ausgeführt.

Stichprobe

Stichprobe, die für Attestierungen verwendet werden soll. Eine Stichprobe kann nur genau einer Attestierungsrichtlinie zugeordnet sein.

Um eine neue Stichprobe zu erstellen, klicken Sie . Erfassen Sie die Bezeichnung der Stichprobe und ordnen Sie die Tabelle zu, aus der die Stichprobendaten ermittelt werden sollen.

An Standardattestierungsrichtlinien können keine Stichproben zugeordnet werden.

Bearbeitungszeit [Tage]

Anzahl der Tage, innerhalb derer die Attestierung entschieden sein soll. Wenn Sie die Bearbeitungszeit nicht festlegen möchten, erfassen Sie 0.

Wochenenden und Feiertage werden bei der Berechnung der Fälligkeit von Attestierungsvorgängen standardmäßig berücksichtigt. Wenn Wochenenden und Feiertage wie Arbeitstage behandelt werden sollen, aktivieren Sie die Konfigurationsparameter QER | Attestation | UseWorkingHoursDefinition, QBM | WorkingHours | IgnoreHoliday und QBM | WorkingHours | IgnoreWeekend. Ausführliche Informationen zur Ermittlung von Arbeitszeiten finden Sie im One Identity Manager Konfigurationshandbuch.

Der One Identity Manager gibt nicht vor, welche Aktionen ausgeführt werden, wenn die Bearbeitungszeit überschritten ist. Definieren Sie für diesen Fall unternehmensspezifische Aktionen oder Auswertungen.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Risikoindex

Gibt das Risiko für das Unternehmen an, wenn Attestierungen für diese Attestierungsrichtlinie abgelehnt werden. Stellen Sie über den Schieberegler einen Wert zwischen 0 und 1 ein.

  • 0: kein Risiko

  • 1: Die abgelehnte Attestierung ist ein Problem.

Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist.

Risikoindex (reduziert)

Gibt den Risikoindex unter Berücksichtigung der zugewiesenen risikomindernden Maßnahmen an. Der Risikoindex einer Attestierungsrichtlinie wird um die Werte Signifikanzminderung aller zugewiesenen risikomindernden Maßnahmen reduziert.

Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Der Wert wird durch den One Identity Manager berechnet und kann nicht bearbeitet werden.

Zeitplan der Berechnung

Zeitplan, nach dem die Attestierung durchgeführt werden soll. Attestierungsvorgänge werden automatisch zu den Terminen erstellt, die im Zeitplan festgelegt sind.

Wenn ein Richtlinienverbund zugeordnet ist, ist das Eingabefeld deaktiviert. Es gilt der Zeitplan des Richtlinienverbunds.

Sprache

Sprache, in der die zu attestierenden Informationen angezeigt werden.

Wenn keine Sprache angegeben ist, werden die Informationen in der Sprache des Geräts generiert, auf dem die Attestierung gestartet wird.

Deaktiviert

Angabe, ob die Attestierungsrichtlinie deaktiviert ist.

Für deaktivierte Attestierungsrichtlinien we-rden keine Attestierungsvorgänge angelegt und somit keine Attestierungen durchgeführt. Deaktivierte Attestierungsrichtlinien können gelöscht werden.

Abgeschlossene Attestierungsvorgänge können gelöscht werden, sobald die Attestierungsrichtlinie deaktiviert wird.

Zu attestierende Objekte anzeigen

Gibt an, ob die von der Attestierungsrichtlinie betroffenen Objekte berechnet werden und auf dem Überblicksformular angezeigt werden.

Keine leeren Attestierungsläufe

Gibt an, ob ein leerer Attestierungslauf generiert werden soll, wenn bei der Berechnung der Attestierungsvorgänge kein zu attestierendes Objekt ermittelt wird.

Aktiviert: Es wird kein leerer Attestierungslauf erzeugt. Damit ist nachträglich nicht nachvollziehbar, ob die Attestierung regulär gestartet wurde.

Deaktiviert: Es wird ein Attestierungslauf ohne Attestierungsvorgänge erzeugt. Damit ist nachvollziehbar, dass die Attestierung gestartet wurde jedoch keine zu attestierenden Objekte ermittelt wurden.

Benachrichtigungen über offene Attestierungen immer versenden

Gibt an, ob adaptive Karten oder Einzelbenachrichtigungen über offene Attestierungen gesendet werden sollen, auch wenn der Konfigurationsparameter QER | Attestation | MailTemplateIdents | RequestApproverByCollection aktiviert ist.

Veraltete Vorgänge automatisch schließen

Angabe, ob offene Attestierungsvorgänge abgebrochen werden sollen, wenn neue angelegt werden.

Wenn eine Attestierung gestartet wird und die Option aktiviert ist, werden neue Attestierungsvorgänge entsprechend der Bedingung erstellt. Alle noch offenen, veralteten Attestierungsvorgänge für erneut ermittelte Attestierungsobjekte dieser Attestierungsrichtlinie werden abgebrochen. Attestierungsvorgänge für Attestierungsobjekte, die nicht erneut ermittelt wurden, bleiben erhalten.

Anzahl veralteter Vorgänge

Gibt die maximale Anzahl abgeschlossener Attestierungsvorgänge pro Attestierungsobjekt an, die in der Datenbank verbleiben sollen, wenn abgeschlossene Attestierungsvorgänge gelöscht werden.

  • 0: Es werden keine Attestierungsvorgänge gelöscht.

  • > 0: Die angegebene Anzahl an abgeschlossenen Attestierungsvorgängen je Attestierungsobjekt verbleibt in der Datenbank.

Der Wert kann nur bearbeitet werden, wenn die Funktion Attestierungsvorgänge löschen konfiguriert ist. Weitere Informationen finden Sie unter Attestierungsvorgänge löschen.

Nutzungsbedingungen

Nutzungsbedingungen, die als PDF-Datei den Attestierern vorgelegt werden. Das können beispielsweise geltende Richtlinien sein.

Begründung der Entscheidung

Begründungstext, der angegeben wird, wenn die Option Veraltete Vorgänge automatisch schließen aktiviert ist und unbearbeitete Attestierungsvorgänge automatisch geschlossen werden.

Ausgabeformat

Format, in dem der Bericht erzeugt werden soll.

Die Auswahlliste ist nur sichtbar, wenn der Konfigurationsparameter QER | Attestation | AllowAllReportTypes aktiviert ist. Ist der Konfigurationsparameter nicht aktiviert, wird standardmäßig das PDF-Format genutzt, da dies als einziges Format revisionssicher ist.

Art der Begründung bei Genehmigung

Gibt an, welche Art der Begründung bei Genehmigung der Attestierung erforderlich ist.

  • Optional: Eine Begründung kann bei Bedarf angegeben werden.

  • Begründung erforderlich (Standard oder Freitext): Es muss eine der Standardbegründungen ausgewählt oder eine Begründung als Freitext erfasst werden.

  • Freitext erforderlich: Es muss eine Begründung als Freitext angegeben werden.

HINWEIS: Im Web Designer Web Portal wird diese Information nicht genutzt. Es wird nicht zwischen den verschiedenen Arten für Begründungen unterschieden.

Art der Begründung bei Ablehnung

Gibt an, welche Art der Begründung bei Ablehnung der Attestierung erforderlich ist.

  • Optional: Eine Begründung kann bei Bedarf angegeben werden.

  • Begründung erforderlich (Standard oder Freitext): Es muss eine der Standardbegründungen ausgewählt oder eine Begründung als Freitext erfasst werden.

  • Freitext erforderlich: Es muss eine Begründung als Freitext angegeben werden.

HINWEIS: Im Web Designer Web Portal wird diese Information nicht genutzt. Es wird nicht zwischen den verschiedenen Arten für Begründungen unterschieden.

Bedingung bearbeiten...

Startet den Where-Klausel-Assistenten. Mit diesem können Sie die Bedingung erstellen oder bearbeiten, welche die Attestierungsobjekte aus der im Attestierungsverfahren festgelegten Datenbanktabelle ermittelt.

Bedingung

Datenbankabfrage, über welche die Attestierungsobjekte ermittelt werden.

Das Eingabefeld wird für neue Attestierungsrichtlinien angezeigt.

HINWEIS: Für eine Stichprobenattestierung muss die Bedingung auch die Stichprobendaten abfragen. Eine Bildungsregel unterstützt die Erstellung der Bedingung. Diese Bedingung kann bei Bedarf angepasst werden.

Beispiel für die Attestierung von Identitäten mit einer Stichprobe:

EXISTS (SELECT 1 FROM 
    (
    SELECT ObjectKeyItem FROM QERPickedItem 
        WHERE UID_QERPickCategory = '$UID_QERPickCategory$'
    ) as
    WHERE X.ObjectKeyItem = Person.XObjectKey) 

Beispiel für die Attestierung von Benutzerkonten mit einer Stichprobe aus Identitäten:

EXISTS (SELECT 1 FROM 
    (
    SELECT UID_Person FROM Person WHERE EXISTS 
        (
        SELECT 1 FROM 
            (
            SELECT ObjectKeyItem FROM QERPickedItem 
                WHERE UID_QERPickCategory = '$UID_QERPickCategory$'
            ) as
            WHERE X.ObjectKeyItem = Person.XObjectKey
    ) ) as
    WHERE X.UID_Person = UNSAccount.UID_Person)

Um die Bedingung für bestehende Attestierungsrichtlinien anzuzeigen, führen Sie die Aufgabe Bedingung anzeigen aus.

Entscheidung durch Multifaktor-Authentifizierung

Attestierungen dieser Attestierungsrichtlinie erfordern eine Multifaktor-Authentifizierung.

Zertifizierungsstatus auf "Zertifiziert" setzen

Gibt an ob, der Zertifizierungsstatus des zu attestierenden Objektes auf Zertifiziert gesetzt werden soll, wenn der Attestierungsvorgang abschließend genehmigt wurde.

Zertifizierungsstatus auf "Abgelehnt" setzen

Gibt an, ob der Zertifizierungsstatus für das attestierte Objekt auf Abgelehnt gesetzt werden soll, wenn der Attestierungsvorgang final abgelehnt wurde.

Hinweis: Attestierungsrichtlinien, die im Web Portal erstellt wurden, können nur im Web Portal bearbeitet werden. Auf dem Stammdatenformular erscheint ein entsprechender Hinweis, wenn die Attestierungsrichtlinie im Web Portal erstellt wurde.

Wenn Sie eine solche Attestierungsrichtlinie im Manager bearbeiten möchten, erstellen Sie eine Kopie.

Ausführliche Informationen zum Bearbeiten einer Attestierungsrichtlinie im Web Portal finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Detaillierte Informationen zum Thema
Verwandte Themen

Risikoindex für Attestierungsrichtlinien festlegen

Mit dem One Identity Manager können Sie die Risiken von Attestierungsvorgängen bewerten. Dazu legen Sie an den Attestierungsrichtlinien einen Risikoindex fest. Der Risikoindex gibt an, welches Risiko mit der zu attestierenden Datensituation verbunden ist. Der Risikoindex wird als numerischer Wert mit dem Wertebereich 0 .. 1 angegeben. Dabei legen Sie fest, ob mit den zu attestierenden Daten kein Risiko verbunden ist (Risikoindex = 0) oder ob jede Ablehnung ein Problem darstellt (Risikoindex = 1).

Durch geeignete Kontrollmaßnahmen kann das Risiko gesenkt werden, dass Attestierungsvorgänge abgelehnt werden. Diese Maßnahmen können als risikomindernde Maßnahmen im One Identity Manager erfasst werden. Der Wert, um den das Risiko gesenkt wird, wird als Signifikanzminderung an der risikomindernden Maßnahme angegeben. Mit diesem Wert wird der reduzierte Risikoindex der Attestierungsrichtlinien berechnet.

Um Attestierungsvorgänge abhängig vom Risikoindex auszuwerten, können Sie mit dem Report Editor verschiedene Berichte erstellen. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch.

Risikobewertungen sind möglich, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating