Chat now with support
Chat with Support

Identity Manager 9.3 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Nutzungsbedingungen für Attestierungen bereitstellen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen für Attestierungsrichtlinien Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Phasen der Attestierung

Bei der Durchführung von Attestierungen kann es hilfreich sein, vorab zu prüfen, ob die korrekten Attestierungsobjekte generiert und die passenden Entscheider ermittelt werden. Dabei wird entschieden, ob das Genehmigungsverfahren wie definiert bereitgestellt und für Attestierungen genutzt werden kann oder angepasst werden muss. Eine solche Bereitstellungsphase kann bei Bedarf an den Beginn der Genehmigungsverfahren gestellt werden.

Wenn mit einer abgelehnten Attestierung der Entzug von Berechtigungen verbunden ist, kann den betroffenen Identitäten die Möglichkeit eingeräumt werden, die Ablehnung anzufechten und damit den Entzug der Berechtigungen zu verhindern. Eine solche Anfechtungsphase kann bei Bedarf an das Ende der Genehmigungsverfahren gestellt werden. Abhängig vom Ergebnis der Anfechtung können Berechtigungen anschließend automatisch oder manuell entzogen werden.

Genehmigungsverfahren können somit in vier Phasen eingeteilt werden:

  1. (Optional) Bereitstellen

    Verantwortliche für Attestierungen, konkret die Eigentümer der jeweiligen Attestierungsrichtlinie, erhalten hier die Möglichkeit, die Details eines Attestierungslaufs zu prüfen. Damit können Umfang und Ablauf der Attestierung beurteilt werden, bevor die Attestierung durchgeführt wird. Wenn dabei Fehler in den generierten Attestierungsvorgängen festgestellt werden, können die betroffenen Attestierungsvorgänge abgebrochen, die Fehler behoben und die Attestierung neu gestartet werden.

    Die Bereitstellungsphase kann in Genehmigungsverfahren für beliebige Attestierungsobjekte integriert werden.

  2. Attestieren

    Die Attestierung wird entsprechend dem definierten Entscheidungsworkflow durchgeführt.

  3. (Optional) Anfechten

    Wenn eine Attestierung endgültig abgelehnt wird, kann den betroffenen Identitäten die Möglichkeit gegeben werden, diese Ablehnung anzufechten. Die attestierten Identitäten haben damit die Möglichkeit ihre berechtigten Interessen anzumelden, bevor eine benötigte Berechtigung entzogen wird. So kann verhindert werden, dass beispielsweise eine kurzfristig benötigte Berechtigung durch eine zeitgesteuerte Attestierung entzogen wird und anschließend mit zusätzlichem Aufwand wieder zugewiesen werden muss.

    Eine Anfechtung ist möglich, wenn Benutzerkonten, Mitgliedschaften in Rollen und Organisationen oder Mitgliedschaften in Systemberechtigungen attestiert werden.

  4. (Optional) Berechtigungen automatisch entziehen

    Wenn eine Attestierung endgültig abgelehnt wird, kann die abgelehnte Berechtigung sofort automatisch entzogen werden. Dafür wird am Ende des Entscheidungsworkflows ein automatischer Entscheidungsschritt mit einer extern vorzunehmenden Entscheidung eingefügt.

Für alle vier Phasen werden passende Entscheidungsebenen in den Entscheidungsworkflows definiert.

Detaillierte Informationen zum Thema

Bereitstellungsphase einrichten

Für die Bereitstellungsphase wird zu Beginn des Entscheidungsworkflows eine Entscheidungsebene eingefügt, in der die Eigentümer der Attestierungsrichtlinie als Entscheider ermittelt werden. Alle Attestierungsvorgänge eines Attestierungslaufs werden somit einer einzelnen Identität (AttestationPolicy.UID_PersonOwner) oder einer Gruppe von Identitäten (AttestationPolicy.UID_AERoleOwner) zur Prüfung vorgelegt.

Die Bereitstellungsphase kann beispielsweise eingerichtet werden, wenn die Attestierungsrichtlinie oder ihre Komponenten (Attestierungsverfahren, Entscheidungsworkflow und so weiter) neu erstellt wurden und geprüft werden soll, ob sie die erwarteten Ergebnisse liefern.

Um die Bereitstellungsphase einzurichten

  1. Erstellen Sie im Manager einen neuen Entscheidungsworkflow oder bearbeiten Sie einen bestehenden Entscheidungsworkflow.

  2. Fügen Sie zu Beginn des Workflows eine neue Entscheidungsebene ein und erfassen Sie die Eigenschaften des Entscheidungsschritts.

    • Entscheidungsverfahren: PW - Eigentümer der Attestierungsrichtlinie

  3. Ziehen Sie den Verbinder Genehmigung von der Entscheidungsebene für die Prüfung zur nächsten Entscheidungsebene.

  4. Speichern Sie die Änderungen.

  5. Weisen Sie den Entscheidungsworkflow an eine Entscheidungsrichtlinie zu.

  6. Weisen Sie die Entscheidungsrichtlinie an eine Attestierungsrichtlinie zu.

  7. Weisen Sie der Attestierungsrichtlinie einen einzelnen Eigentümer oder eine Anwendungsrolle als Eigentümer zu.

  8. (Optional) Bearbeiten Sie die Stammdaten des Attestierungsverfahrens, das der Attestierungsrichtlinie zugeordnet ist.

    • Erfassen Sie auf dem Tabreiter Vorlagen im Eingabefeld Textvorlage einen Text, der die Aufgabe der Prüfer und Attestierer beschreibt.

      Beispiel: 

      Für Prüfer: Enthält der Attestierungsvorgang die korrekten Daten zum Attestierungsobjekt und werden die richtigen Attestierer ermittelt?
      Für Attestierer: Sind die Daten des Attestierungsobjekts korrekt und aktuell?
  9. Speichern Sie die Änderungen.

Mit dieser Workflowkonfiguration wird die Attestierungsphase gestartet, sobald ein Eigentümer der Attestierungsrichtlinie die Bereitstellung genehmigt. Wenn der Entscheidungsschritt abgelehnt wird, wird die Attestierung für den aktuellen Attestierungsvorgang endgültig abgelehnt und notwendige Korrekturen können vorgenommen werden.

Detaillierte Informationen zum Thema
Verwandte Themen

Prüfkriterien für die Bereitstellungsphase

In der Bereitstellungsphase wird zu Beginn jedes Attestierungslaufs für die Attestierungsrichtlinie geprüft, ob die erzeugten Attestierungsvorgänge korrekt sind. Prüfkriterien können sein:

  • Umfang der Attestierung

    Werden zu viele oder zu wenige Attestierungsvorgänge erzeugt?

    -> Muss die Bedingung der Attestierungsrichtlinie anders formuliert werden?

  • Ablauf der Attestierung

    Werden die richtigen Attestierer in der richtigen Reihenfolge ermittelt?

    -> Muss der Entscheidungsworkflow geändert werden?

  • Details der Attestierungsobjekte, die den Attestierern angezeigt werden

    • Werden zu viele oder zu wenige Detailinformationen angezeigt?

      -> Muss der Bericht oder der Inhalt des Snapshots am Attestierungsverfahren geändert werden?

    • Werden falsche Informationen angezeigt?

      -> Müssen die Stammdaten des Attestierungsobjekts korrigiert werden?

Wenn Fehler nur an einzelnen Attestierungsvorgängen festgestellt werden, können Sie diese Attestierungen ablehnen und die notwendigen Korrekturen an den Attestierungsobjekten vornehmen. Alle übrigen Attestierungsvorgänge können genehmigt werden und damit das weitere Genehmigungsverfahren durchlaufen.

Wenn grundsätzliche Fehler an der Attestierungsrichtlinie, am Attestierungsverfahren oder dem genutzten Entscheidungsworkflow festgestellt werden, können Sie alle noch offenen Attestierungsvorgänge markieren, gemeinsam ablehnen und anschließend die notwendigen Korrekturen vornehmen.

Verwandte Themen

Anfechtungsphase einrichten

Wenn eine Attestierung endgültig abgelehnt wird, kann den betroffenen Identitäten die Möglichkeit gegeben werden, diese Ablehnung anzufechten. Die Anfechtung kann insbesondere dann nützlich sein, wenn im Anschluss an abgelehnte Attestierungen Berechtigungen automatisch entzogen werden sollen. Die Betroffenen können das in letzter Instanz verhindern.

Um die Anfechtungsphase einzurichten

  1. Bearbeiten Sie im Manager einen Entscheidungsworkflow und fügen Sie am Ende des Workflows eine neue Entscheidungsebene ein.

  2. Erfassen Sie die Eigenschaften des Entscheidungsschritts.

    • Entscheidungsverfahren: CN - Anfechtung der Entscheidung

    Wenn der Workflow eine Entscheidungsebene zum automatischen Entzug der attestierten Berechtigung enthält, muss die Entscheidungsebene für die Anfechtung unmittelbar davor eingefügt werden.

  3. Ziehen Sie den Verbinder Ablehnung von der vorhergehenden Entscheidungsebene zur Entscheidungsebene für die Anfechtung.

  4. (Optional) Ziehen Sie den Verbinder Ablehnung von der Entscheidungsebene für die Anfechtung zur Entscheidungsebene für den automatischen Entzug von Berechtigungen.

  5. Speichern Sie die Änderungen.

  6. Weisen Sie den Entscheidungsworkflow an eine Entscheidungsrichtlinie zu.

  7. Weisen Sie die Entscheidungsrichtlinie an eine Attestierungsrichtlinie zu.

    Eine Anfechtung ist möglich, wenn Benutzerkonten, Mitgliedschaften in Rollen und Organisationen oder Mitgliedschaften in Systemberechtigungen attestiert werden.

  8. (Optional) Bearbeiten Sie die Stammdaten des Attestierungsverfahrens, das der Attestierungsrichtlinie zugeordnet ist.

    • Erfassen Sie auf dem Tabreiter Vorlagen im Eingabefeld Textvorlage einen Text, der die Aufgabe der Attestierer beschreibt.

  9. Speichern Sie die Änderungen.

Wenn die Betroffenen diesen Entscheidungsschritt ablehnen, wird die Attestierung endgültig abgelehnt. Wenn der automatische Entzug von Berechtigungen konfiguriert ist, wird die attestierte Zuweisung dann automatisch entfernt. Wenn die Betroffenen diesen Entscheidungsschritt genehmigen, wird die Attestierung final genehmigt.

Detaillierte Informationen zum Thema
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating