Chat now with support
Chat with Support

Identity Manager 9.3 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Nutzungsbedingungen für Attestierungen bereitstellen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen für Attestierungsrichtlinien Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Entzug von Berechtigungen einrichten

Wenn eine Attestierung endgültig abgelehnt wird, kann die abgelehnte Berechtigung sofort automatisch entzogen werden. Dafür wird am Ende des Entscheidungsworkflows ein automatischer Entscheidungsschritt mit einer extern vorzunehmenden Entscheidung eingefügt.

Um den automatischen Entzug von Berechtigungen einzurichten

  1. Bearbeiten Sie im Manager einen Entscheidungsworkflow und fügen Sie am Ende des Workflows eine neue Entscheidungsebene ein.

  2. Erfassen Sie die Eigenschaften des Entscheidungsschritts.

    • Entscheidungsverfahren: EX - Extern vorzunehmende Entscheidung

    • Ereignis: AUTOREMOVE

  3. Ziehen Sie den Verbinder Ablehnung von der vorhergehenden Entscheidungsebene zur Entscheidungsebene für den automatischen Entzug von Berechtigungen.

  4. Speichern Sie die Änderungen.

  5. Weisen Sie den Entscheidungsworkflow an eine Entscheidungsrichtlinie zu.

  6. Weisen Sie die Entscheidungsrichtlinie an eine Attestierungsrichtlinie zu.

    Der automatische Entzug von Berechtigungen ist möglich, wenn Mitgliedschaften oder Zuweisungen zu Anwendungsrollen, Geschäftsrollen, Systemrollen oder Systemberechtigungen attestiert werden.

  7. Speichern Sie die Änderungen.

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | AutoRemovalScope und die untergeordneten Konfigurationsparameter.

  2. Wenn die Berechtigungen über IT Shop Bestellungen erworben wurden, legen Sie fest, ob diese Bestellungen abbestellt oder abgebrochen werden sollen. Aktivieren Sie dafür den Konfigurationsparameter QER | Attestation | AutoRemovalScope | PWOMethodName und wählen Sie einen Wert.

    • Abort: Bestellungen werden abgebrochen. Sie durchlaufen damit keinen Abbestellworkflow. Die bestellten Berechtigungen werden ohne zusätzliche Prüfung entzogen.

    • Unsubscribe: Bestellungen werden abbestellt. Sie durchlaufen den an den Entscheidungsrichtlinien hinterlegten Abbestellworkflow. Der Entzug der Berechtigung kann damit zusätzlich geprüft werden.

      Wenn die Abbestellung abgelehnt wird, wird die Berechtigung nicht entzogen, obwohl die Attestierung abgelehnt ist.

    Wenn der Konfigurationsparameter deaktiviert ist, werden die Bestellungen abgebrochen.

Detaillierte Informationen zum Thema
Verwandte Themen

Attestierungen durch Peer-Gruppen-Analyse

Über eine Peer-Gruppen-Analyse können Attestierungsvorgänge automatisch genehmigt oder abgelehnt werden. Eine Peer-Gruppe bilden beispielsweise alle Identitäten derselben Abteilung. Bei der Peer-Gruppen-Analyse wird davon ausgegangen, dass diese Identitäten die gleichen Systemberechtigungen oder sekundären Mitgliedschaften benötigen. Wenn also eine große Mehrheit der Identitäten in einer Abteilung eine bestimmte Systemberechtigung besitzt, kann deren Zuweisung an eine andere Identität dieser Abteilung automatisch genehmigt werden. Dadurch können Genehmigungsverfahren beschleunigt werden.

Die Peer-Gruppen-Analyse kann angewendet werden, wenn folgende Zuweisungen oder Mitgliedschaften attestiert werden:

  • Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup), wenn das Benutzerkonto mit einer Identität verbunden ist
  • Sekundäre Mitgliedschaften in Rollen und Organisationen (Tabelle PersonInBaseTree und deren Ableitungen)

Als Peer-Gruppe werden alle Identitäten zusammengefasst, die denselben Manager haben oder die derselben primären oder sekundären Abteilung angehören, wie die Identität, die mit dem Attestierungsobjekt verbunden ist (= zu attestierende Identität). Welche Identitäten zu einer Peer-Gruppe zusammengefasst werden, wird über Konfigurationsparameter festgelegt. Es muss mindestens einer der folgenden Konfigurationsparameter aktiviert sein.

  • QER | Attestation | PeerGroupAnalysis | IncludeManager: Identitäten, die denselben Manager haben, wie die zu attestierende Identität

  • QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Identitäten, die derselben primären Abteilung angehören, wie die zu attestierende Identität

  • QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Identitäten, deren sekundäre Abteilung der primären oder sekundären Abteilung der zu attestierenden Identität entspricht

Welcher Anteil der Identitäten einer Peer-Gruppe die zu attestierende Zuweisung oder Mitgliedschaft bereits besitzen muss, wird über einen Schwellwert im Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold festgelegt. Der Schwellwert gibt das Verhältnis zwischen der Gesamtzahl der Identitäten in der Peer-Gruppe und der Anzahl der Identitäten in der Peer-Gruppe, welche diese Zuweisung oder Mitgliedschaft bereits besitzen, an.

Zusätzlich kann festgelegt werden, dass Identitäten keine funktionsfremden Zuweisungen oder Mitgliedschaften besitzen dürfen. Das heißt, wenn die Zuweisung oder Mitgliedschaft und die zu attestierende Identität zu unterschiedlichen Unternehmensbereichen gehören, soll der Attestierungsvorgang abgelehnt werden. Um diese Prüfung in die Peer-Gruppen-Analyse einzubeziehen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.

Ob eine Zuweisung oder Mitgliedschaft funktionsfremd ist, kann nur geprüft werden, wenn folgende Bedingungen erfüllt sind:

  • Die zu attestierende Identität und die Mitglieder der Peer-Gruppe haben die Zuweisung oder Mitgliedschaft im IT Shop bestellt.

  • Der zu attestierenden Identität ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.

  • Der Leistungsposition, die der Zuweisung oder Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.

Bei einer vollständig konfigurierten Peer-Gruppen-Analyse werden Attestierungsvorgänge automatisch genehmigt, wenn:

  • die zu attestierende Mitgliedschaft nicht funktionsfremd ist und

  • die Anzahl der Identitäten in der Peer-Gruppe, welche diese Mitgliedschaft bereits besitzen, einen festgelegten Schwellwert erreicht oder übersteigt.

Andernfalls werden die Attestierungsvorgänge automatisch abgelehnt.

Um diese Funktionalität nutzen zu können, stellt der One Identity Manager den Prozess ATT_AttestationCase_Peer group analysis und das Ereignis PeerGroupAnalysis bereit. Der Prozess wird über einen Entscheidungsschritt mit dem Entscheidungsverfahren EX ausgeführt.

Detaillierte Informationen zum Thema

Peer-Gruppen-Analyse für Attestierungen konfigurieren

Um die Peer-Gruppen-Analyse zu konfigurieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis.

  2. Aktivieren Sie mindestens einen der folgenden Konfigurationsparameter:

    • QER | Attestation | PeerGroupAnalysis | IncludeManager: Identitäten, die denselben Manager haben, wie die mit dem Attestierungsobjekt verbundene Identität.

    • QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Identitäten, die derselben primären Abteilung angehören, wie die mit dem Attestierungsobjekt verbundene Identität.

    • QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Identitäten, deren sekundäre Abteilung der primären oder sekundären Abteilung der Identität entspricht, die mit dem Attestierungsobjekt verbunden ist.

    Damit legen Sie fest, welche Identitäten zur Peer-Gruppe gehören. Es können auch zwei oder alle Konfigurationsparameter aktiviert werden.

  3. Um den Schwellwert für die Peer-Gruppe festzulegen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold und legen Sie einen Wert zwischen 0 und 1 fest.

    Der Standardwert ist 0,9. Das heißt, mindestens 90% der Mitglieder der Peer-Gruppe müssen die zu attestierende Mitgliedschaft bereits besitzen, damit der Attestierungsvorgang genehmigt wird.

  4. (Optional) Um zu prüfen, ob die zu attestierende Mitgliedschaft funktionsfremd ist, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.

    • Stellen Sie sicher, dass folgende Bedingungen erfüllt sind:

      • Die zu attestierende Identität und die Mitglieder der Peer-Gruppe haben die Zuweisung oder Mitgliedschaft im IT Shop bestellt.

      • Der zu attestierenden Identität ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.

      • Der Leistungsposition, die der Zuweisung oder Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.

      Es werden nur Unternehmensbereiche berücksichtigt, die den Leistungspositionen primär zugewiesen sind.

      Ausführliche Informationen zur Bearbeitung von Leistungspositionen finden Sie im One Identity Manager Administrationshandbuch für IT Shop. Ausführliche Informationen zu Unternehmensbereichen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  5. Erstellen Sie im Manager einen Entscheidungsworkflow mit mindestens einer Entscheidungsebene. Für den Entscheidungsschritt erfassen Sie mindestens folgende Daten:

    • Einzelschritt: EXWithPeerGroupAnalysis.

    • Entscheidungsverfahren: EX

    • Ereignis: PeerGroupAnalysis

    Das Ereignis startet den Prozess ATT_AttestationCase_Peer group analysis, welcher das Skript ATT_PeerGroupAnalysis_for_Attestation ausführt.

    Das Skript führt eine automatische Entscheidung aus und setzt den Typ des Entscheidungsschritts auf Zustimmung oder Ablehnung.

Detaillierte Informationen zum Thema
Verwandte Themen

Entscheidungsempfehlungen für Attestierungen

Eine Möglichkeit Genehmigungsverfahren zu beschleunigen, indem Attestierungen automatisch genehmigt werden, ist die Entscheidungsempfehlung. Dabei wird anhand verschiedener Kriterien ermittelt, ob eine Attestierung eher genehmigt oder abgelehnt werden sollte. Basierend auf der Empfehlung können die Attestierungen automatisch genehmigt werden. Wenn eine Ablehnung empfohlen wird oder keine eindeutige Empfehlung gegeben werden kann, müssen die Attestierungen zusätzlichen Attestierern vorgelegt werden. Diesen Attestierern werden die Entscheidungsempfehlung und die Details der Empfehlung angezeigt, sodass sie mit Hilfe dieser Informationen eine Entscheidung treffen können.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating