Chat now with support
Chat with Support

Identity Manager 9.3 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungstypen Attestierungsverfahren Zeitpläne für Attestierungen Compliance Frameworks Zentrale Entscheidergruppe Eigentümer von Attestierungsrichtlinien Standardbegründungen für Attestierungen Nutzungsbedingungen für Attestierungen bereitstellen Attestierungsrichtlinien Stichprobenattestierung Gruppierung von Attestierungsrichtlinien Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen Automatische Attestierung von Richtlinienverletzungen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Identität verhindern Entscheidung von Attestierern automatisch übernehmen Phasen der Attestierung Attestierungen durch Peer-Gruppen-Analyse Entscheidungsempfehlungen für Attestierungen Attestierungsvorgang steuern
Ablauf einer Attestierung
Attestierung starten Überblick über Attestierungsvorgänge Entscheidungsverlauf Attestierungshistorie Änderung des Entscheidungsworkflows bei offenen Attestierungsvorgängen Attestierungsvorgänge für deaktivierte Identitäten schließen Attestierungsvorgänge löschen Benachrichtigungen im Attestierungsvorgang Attestierung per E-Mail Attestierung über adaptive Karten Attestierungsvorgänge im Manager entscheiden Attestierungsvorgänge eines Attestierers anzeigen Informationen über Attestierungsobjekte anzeigen Zusatzeigenschaften an Attestierungsvorgänge zuweisen Unvollständige Attestierungsläufe anzeigen Unvollständige Attestierungsläufe abbrechen Abgebrochene Attestierungsläufe anzeigen Berichte über Attestierungen
Standardattestierungen Risikomindernde Maßnahmen für Attestierungsrichtlinien Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Kriterien für Entscheidungsempfehlungen für Attestierungen

Für Entscheidungsempfehlungen werden verschiedene Kriterien ausgewertet. Welche Kriterien angewendet werden können, ist abhängig vom zu attestierenden Objekt. Beispielsweise kann der Zeitpunkt der letzten Anmeldung eines Benutzerkontos am Zielsystem nur bei der Attestierung von Benutzerkonten oder Zuweisungen von Benutzerkonten an Systemberechtigungen ausgewertet werden. Bei anderen Attestierungsobjekten ist dieses Kriterium nicht anwendbar. Nicht anwendbare Kriterien haben keinen Einfluss auf das Ergebnis der Empfehlung.

Die folgenden Kriterien werden ausgewertet, wenn Empfehlungen für die Entscheidung von Attestierungsvorgängen ermittelt werden.

  1. Peer-Gruppen-Faktor

    Der Peer-Gruppen-Faktor setzt voraus, dass alle Mitglieder einer Peer-Gruppe die gleichen Systemberechtigungen oder sekundären Mitgliedschaften benötigen. Wenn also eine große Mehrheit der Identitäten in einer Abteilung eine bestimmte Systemberechtigung besitzt, kann deren Zuweisung an eine andere Identität dieser Abteilung genehmigt werden.

    Welcher Anteil der Identitäten einer Peer-Gruppe die zu attestierende Zuweisung oder Mitgliedschaft bereits besitzen muss, wird über einen Schwellwert im Konfigurationsparameter QER | Attestation | Recommendation | PeerGroupThreshold festgelegt. Der Schwellwert gibt das Verhältnis zwischen der Gesamtzahl der Identitäten in der Peer-Gruppe und der Anzahl der Identitäten in der Peer-Gruppe, welche diese Zuweisung oder Mitgliedschaft bereits besitzen, an.

    Als Peer-Gruppe werden alle Identitäten zusammengefasst, die denselben Manager haben oder die derselben primären oder sekundären Abteilung angehören, wie die Identität, die mit dem Attestierungsobjekt verbunden ist (= zu attestierende Identität). Welche Identitäten zu einer Peer-Gruppe zusammengefasst werden, wird über Konfigurationsparameter festgelegt. Es muss mindestens einer der folgenden Konfigurationsparameter aktiviert sein.

    • QER | Attestation | PeerGroupAnalysis | IncludeManager: Identitäten, die denselben Manager haben, wie die zu attestierende Identität

    • QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Identitäten, die derselben primären Abteilung angehören, wie die zu attestierende Identität

    • QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Identitäten, deren sekundäre Abteilung der primären oder sekundären Abteilung der zu attestierenden Identität entspricht

    Dieses Kriterium wird nur bei folgenden Attestierungen ausgewertet:

    • Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup), wenn das Benutzerkonto mit einer Identität verbunden ist
    • Sekundäre Mitgliedschaften in Rollen und Organisationen (Tabelle PersonInBaseTree und deren Ableitungen)
  2. Zugewiesener Unternehmensbereich

    Es wird überprüft, ob der zu attestierenden Zuweisung oder Mitgliedschaft und der primären Abteilung der zu attestierenden Identität derselbe Unternehmensbereich zugewiesen ist. Ist das nicht der Fall, wird die Zuweisung oder Mitgliedschaft als funktionsfremd betrachtet. Ob eine Zuweisung oder Mitgliedschaft funktionsfremd ist, kann nur geprüft werden, wenn folgende Bedingungen erfüllt sind:

    • Die zu attestierende Identität und die Mitglieder der Peer-Gruppe haben die Zuweisung oder Mitgliedschaft im IT Shop bestellt.

    • Der zu attestierenden Identität ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.

    • Der Leistungsposition, die der Zuweisung oder Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.

    Dieses Kriterium wird nur bei folgenden Attestierungen ausgewertet:

    • Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup), wenn das Benutzerkonto mit einer Identität verbunden ist
    • Sekundäre Mitgliedschaften in Rollen und Organisationen (Tabelle PersonInBaseTree und deren Ableitungen)
  3. Verletzung von Complianceregeln

    Es wird überprüft, ob das Attestierungsobjekt bei Genehmigung der Attestierung bestehende Complianceregeln verletzen würde. Sobald eine Regelverletzung erkannt wird, wird die Ablehnung der Attestierung empfohlen.

    Dieses Kriterium wird bei allen Attestierungsobjekten ausgewertet.

  4. Risikofaktor

    Es wird der Risikoindex des Attestierungsobjekts ermittelt. Wenn dieser Risikoindex einen definierten Schwellwert übersteigt, wird die Ablehnung empfohlen. Der Schwellwert wird im Konfigurationsparameter QER | Attestation | Recommendation | RiskIndexThreshold festgelegt.

    Dieses Kriterium wird bei allen Attestierungsobjekten ausgewertet, für die ein Risikoindex vorhanden ist (Spalte RiskIndex oder RiskIndexCalculated).

  5. Genehmigungsrate

    Es wird der Anteil an Genehmigungen für das Attestierungsobjekt bei früheren Attestierungen ermittelt. Dafür werden im Entscheidungsverlauf (AttestationHistory) alle Entscheidungsverfahren mit manuellen Entscheidungen ermittelt, die auch in dem aktuell ausgeführten Entscheidungsworkflow eingesetzt werden. Aus diesen Einträgen im Entscheidungsverlauf wird der Anteil an Genehmigungen für dasselbe Attestierungsobjekt ermittelt.

    Wenn die Genehmigungsrate einen definierten Schwellwert übersteigt, wird die Genehmigung empfohlen. Der Schwellwert wird im Konfigurationsparameter QER | Attestation | Recommendation | ApprovalRateThreshold festgelegt.

    Dieses Kriterium wird bei allen Attestierungsobjekten ausgewertet, die zuvor bereits attestiert wurden.

  6. Zuweisungsrate

    Es wird die Anzahl der Zuweisungen von Unternehmensressourcen an die attestierte Identität ermittelt (aus PersonHasObject) und mit der durchschnittlichen Anzahl pro Identität verglichen. Wenn die Zuweisungsrate kleiner als der Durchschnitt pro Identität ist, wird die Ablehnung empfohlen.

    Dieses Kriterium wird nur bei der Attestierung von Identitäten (Tabelle Person) ausgewertet.

  7. Zeitpunkt der letzten Anmeldung

    Es wird der Zeitpunkt der letzten Anmeldung mit dem Benutzerkonto ermittelt (aus UNSAccount.LastLogon). Wenn die Anmeldung länger als eine definierte Anzahl an Tagen zurückliegt, wird die Ablehnung empfohlen. Die Anzahl an Tagen wird im Konfigurationsparameter QER | Attestation | Recommendation | UnusedDaysThreshold festgelegt.

    Dieses Kriterium wird nur bei der Attestierung von Benutzerkonten (beispielsweise Tabelle UNSAccount) oder Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup) ausgewertet, wenn die Spalte LastLogon an der Benutzerkontentabelle vorhanden ist.

Empfehlung zur Genehmigung

Alle anwendbaren Kriterien sind erfüllt. Das heißt:

  • Die Peer-Gruppe hat Mitglieder und der Peer-Gruppen-Faktor ist größer als der Schwellwert (PeerGroupThreshold).

  • Attestierungsobjekt und primäre Abteilung der attestierten Identität gehören zum selben Unternehmensbereich. Das Attestierungsobjekt ist somit nicht funktionsfremd.

  • Es gibt keine Regelverletzungen.

  • Der Risikoindex des Attestierungsobjekts ist kleiner als der Schwellwert (RiskIndexThreshold).

  • Die Genehmigungsrate ist größer als der Schwellwert (ApprovalRateThreshold).

  • Die Zuweisungsrate ist größer als der Durchschnitt.

  • Die letzte Anmeldung liegt weniger als die definierte Anzahl an Tagen zurück (UnusedDaysThreshold ) und es ist ein Zeitpunkt für die letzte Anmeldung erfasst.

Empfehlung zur Ablehnung

Mindestens eins der folgenden Kriterien gilt, wenn es anwendbar ist.

  • Die Peer-Gruppe hat keine Mitglieder oder der Peer-Gruppen-Faktor ist kleiner als der Schwellwert (PeerGroupThreshold).

  • Es gibt mindestens eine Regelverletzung.

  • Die Zuweisungsrate ist kleiner als der Durchschnitt.

Wenn mindestens zwei der folgenden anwendbaren Kriterien gelten, wird ebenfalls die Ablehnung empfohlen.

  • Das Produkt ist funktionsfremd.

  • Der Risikoindex des Attestierungsobjekts ist größer als der Schwellwert (RiskIndexThreshold).

  • Die Genehmigungsrate ist kleiner als der Schwellwert (ApprovalRateThreshold).

  • Die letzte Anmeldung liegt länger als die definierte Anzahl an Tagen zurück (UnusedDaysThreshold ) oder es ist kein Zeitpunkt für die letzte Anmeldung erfasst.

In allen anderen Fällen wird keine Empfehlung gegeben.

Verwandte Themen

Entscheidungsempfehlungen für Attestierungen konfigurieren

Um Entscheidungsempfehlungen zu nutzen, fügen Sie in die Entscheidungsworkflows eine zusätzliche Entscheidungsebene ein und konfigurieren Sie die Schwellwerte. Basierend auf der Empfehlung können die Attestierungen automatisch genehmigt werden. Wenn eine Ablehnung empfohlen wird oder keine eindeutige Empfehlung gegeben werden kann, müssen die Attestierungen zusätzlichen Attestierern vorgelegt werden. Wenn Attestierungen nicht automatisch genehmigt werden sollen, definieren Sie eine manuelle Entscheidungsebene auch für den Fall, dass die Genehmigung empfohlen wird.

Den Attestierern wird die Entscheidungsempfehlung angezeigt. Sie können der Empfehlung folgen oder unabhängig davon eine eigene Entscheidung treffen.

TIPP: Für Entscheidungsempfehlungen mit automatischer Genehmigung stellt One Identity Manager den Beispielworkflow Attestierung durch den Manager der Identität (mit Entscheidungsempfehlung) bereit. Sie können diesen Entscheidungsworkflow als Vorlage nutzen und an Ihre Erfordernisse anpassen. Kopieren Sie dafür den Workflow und fügen Sie Entscheidungsebenen mit manuellen Entscheidungsschritten hinzu.

Um Entscheidungsempfehlungen zu konfigurieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis.

  2. Aktivieren Sie mindestens einen der folgenden Konfigurationsparameter:

    • QER | Attestation | PeerGroupAnalysis | IncludeManager: Identitäten, die denselben Manager haben, wie die mit dem Attestierungsobjekt verbundene Identität.

    • QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Identitäten, die derselben primären Abteilung angehören, wie die mit dem Attestierungsobjekt verbundene Identität.

    • QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Identitäten, deren sekundäre Abteilung der primären oder sekundären Abteilung der Identität entspricht, die mit dem Attestierungsobjekt verbunden ist.

    Damit legen Sie fest, welche Identitäten zur Peer-Gruppe gehören. Es können auch zwei oder alle Konfigurationsparameter aktiviert werden.

  3. Legen Sie den Schwellwert für den Peer-Gruppen-Faktor im Konfigurationsparameter QER | Attestation | Recommendation | PeerGroupThreshold fest. Erfassen Sie einen Wert zwischen 0 und 1.

    Der Standardwert ist 0,9. Das heißt, mehr als 90% der Mitglieder der Peer-Gruppe müssen das Attestierungsobjekt besitzen, damit die Genehmigung empfohlen wird.

  4. Legen Sie den Schwellwert für den Risikofaktor im Konfigurationsparameter QER | Attestation | Recommendation | RiskIndexThreshold fest. Erfassen Sie einen Wert zwischen 0 und 1.

    Der Standardwert ist 0,5. Das heißt, der Risikoindex des Attestierungsobjekts muss kleiner als 0,5 sein, damit die Genehmigung empfohlen wird.

  5. Legen Sie den Schwellwert für die Genehmigungsrate im Konfigurationsparameter QER | Attestation | Recommendation | ApprovalRateThreshold fest. Erfassen Sie einen Wert zwischen 0 und 1.

    Der Standardwert ist 0,5. Das heißt, wenn mehr als 50% aller früheren Attestierungsvorgänge dieses Attestierungsobjekts mit denselben Entscheidungsverfahren schon einmal genehmigt wurden, wird die Genehmigung empfohlen.

  6. Legen Sie im Konfigurationsparameter QER | Attestation | Recommendation | UnusedDaysThreshold die Anzahl der Tage fest, nach denen Benutzerkonten als ungenutzt betrachtet werden sollen.

    Der Standardwert ist 90. Das heißt, wenn der Zeitpunkt der letzten Anmeldung mit einem Benutzerkonto weniger als 90 Tage zurückliegt, wird die Genehmigung empfohlen.

  7. Erstellen Sie im Manager einen Entscheidungsworkflow und fügen als erste Entscheidungsebene einen Entscheidungsschritt mit folgenden Daten ein:

    • Entscheidungsverfahren: EX

    • Ereignis: RecommendationAnalysis

    Das Ereignis startet den Prozess ATT_AttestationCase_Recommendation, welcher das Skript ATT_AttestationCase_Recommendation ausführt. Das Skript führt eine automatische Entscheidung aus.

  8. Fügen Sie eine Entscheidungsebene zur manuellen Entscheidung ein.

  9. Für den Fall, dass die Ablehnung empfohlen wird oder keine Empfehlung gegeben werden kann, verbinden Sie diese Entscheidungsebene mit dem Verbindungspunkt für Ablehnung an der ersten Entscheidungsebene.

  10. (Optional) Wenn die Bestellung nicht automatisch genehmigt werden soll, verbinden Sie den Verbindungspunkt für Genehmigung an der ersten Entscheidungsebene ebenfalls mit einer Entscheidungsebene zur manuellen Entscheidung. Damit müssen Attestierungsvorgänge auch dann manuell entschieden werden, wenn die Genehmigung empfohlen wird.

  11. Erstellen Sie eine Entscheidungsrichtlinie und ordnen Sie diesen Entscheidungsworkflow zu.

    • Verwenden Sie diese Entscheidungsrichtlinie für Attestierungen.

Verwandte Themen

Attestierungsvorgang steuern

Im Verlauf der Attestierung kann es notwendig sein, einen anderen als den standardmäßig verantwortlichen Attestierer mit der Attestierung zu beauftragen, beispielsweise weil ein verantwortlicher Attestierer abwesend ist. Möglicherweise werden zusätzliche Informationen über ein Attestierungsobjekt benötigt. Der One Identity Manager bietet verschiedene Möglichkeiten in einen offenen Attestierungsvorgang einzugreifen.

Weitere Informationen einholen

Ein Attestierer hat die Möglichkeit weitere Informationen zu einem Attestierungsvorgang einzuholen. Diese Nachfragemöglichkeit ersetzt jedoch nicht die Genehmigung oder Ablehnung eines Attestierungsvorgangs. Zur Informationseinholung ist kein zusätzlicher Entscheidungsschritt in einem Entscheidungsworkflow erforderlich.

Der Attestierer kann eine Anfrage an jede beliebige Identität stellen. Der Attestierungsvorgang erhält für den Zeitpunkt der Anfrage einen Hold-Status. Sobald die angefragte Identität die benötigten Informationen geliefert hat und der Attestierer den Entscheidungsschritt entschieden hat, wird der Hold-Status wieder aufgehoben. Der Attestierer kann eine offene Anfrage jederzeit zurückrufen. Der Hold-Status wird dadurch aufgehoben. Die Anfrage und die Antwort werden im Entscheidungsverlauf aufgezeichnet und stehen somit den Attestierern zur Verfügung.

HINWEIS: Wenn der Attestierer, der eine Anfrage gestellt hat, als Entscheider entfällt, wird der Hold-Status aufgehoben. Die angefragte Identität muss nicht mehr antworten. Der Attestierungsvorgang wird fortgesetzt.

Über offene Anfragen können E-Mail Benachrichtigungen an die beteiligten Identitäten versendet werden.

Ausführliche Informationen über Anfragen finden Sie im One Identity Manager Web Portal Anwenderhandbuch.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating