立即与支持人员聊天
与支持团队交流

Identity Manager 8.2.1 - Administrationshandbuch für Attestierungen

Attestierung und Rezertifizierung
One Identity Manager Benutzer für die Attestierung Basisdaten für Attestierungen Attestierungsrichtlinien Stichprobenattestierung Unternehmensspezifische Mailvorlagen für Benachrichtigungen Attestierungen aussetzen
Genehmigungsverfahren für Attestierungsvorgänge
Entscheidungsrichtlinien für Attestierungen Entscheidungsworkflows für Attestierungen Auswahl der verantwortlichen Attestierer Einrichten der Multifaktor-Authentifizierung für Attestierungen Attestierung durch die zu attestierende Person verhindern Attestierungen durch Peer-Gruppen-Analyse Attestierungsvorgang steuern
Ablauf einer Attestierung Standardattestierungen und der Entzug von Berechtigungen Attestierung und Rezertifizierung von Benutzern Risikomindernde Maßnahmen Attestierung in einer separaten Datenbank einrichten Konfigurationsparameter für die Attestierung

Attestierung durch die zu attestierende Person verhindern

In einem Attestierungsvorgang kann das Attestierungsobjekt gleichzeitig als Attestierer ermittelt werden. Damit können die zu attestierenden Personen sich selbst attestieren. Um das zu verhindern, aktivieren Sie den Konfigurationsparameter QER | Attestation | PersonToAttestNoDecide.

HINWEIS:

  • Eine Änderung des Konfigurationsparameters wirkt nur auf neu zu erstellende Attestierungsvorgänge. Für bereits bestehende Attestierungsvorgänge werden die Attestierer nicht neu berechnet.

  • Die Einstellung der Konfigurationsparameter gilt auch für Fallback-Entscheider; sie gilt nicht für die zentrale Entscheidergruppe.

  • Wenn am Entscheidungsschritt die Option Entscheidung durch betroffene Person aktiviert ist, hat der Konfigurationsparameter keine Wirkung.

Um zu verhindern, dass eine Person sich selbst attestieren darf

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PersonToAttestNoDecide.

Der Konfigurationsparameter wirkt auf alle Attestierungsvorgänge, in denen Personen, die im Attestierungsobjekt oder in den Objektbeziehungen enthalten sind, gleichzeitig als Attestierer ermittelt werden. Folgende Personen werden aus dem Kreis der Attestierer entfernt:

  • Personen, die in AttestationCase.ObjectKeyBase enthalten sind

  • Personen, die in AttestationCase.UID_ObjectKey1, ObjectKey2 oder ObjectKey3 enthalten sind

  • die Hauptidentitäten dieser Personen

  • alle Subidentitäten dieser Hauptidentitäten

Ist der Konfigurationsparameter nicht aktiviert oder ist am Entscheidungsschritt die Option Entscheidung durch betroffene Person aktiviert, dürfen diese Personen sich selbst attestieren.

Verwandte Themen

Eigenschaften eines Entscheidungsschritts

Attestierungen durch Peer-Gruppen-Analyse

Über eine Peer-Gruppen-Analyse können Attestierungsvorgänge automatisch genehmigt oder abgelehnt werden. Eine Peer-Gruppe bilden beispielsweise alle Personen derselben Abteilung. Bei der Peer-Gruppen-Analyse wird davon ausgegangen, dass diese Personen die gleichen Systemberechtigungen benötigen. Wenn also eine große Mehrheit der Mitarbeiter einer Abteilung eine Systemberechtigung besitzt, kann deren Zuweisung an eine andere Person dieser Abteilung automatisch genehmigt werden. Dadurch können Genehmigungsverfahren beschleunigt werden.

Die Peer-Gruppen-Analyse kann angewendet werden, wenn folgende Mitgliedschaften attestiert werden:

  • Zuweisungen von Systemberechtigungen an Benutzerkonten (Tabelle UNSAccountInUNSGroup)
  • Sekundäre Mitgliedschaften in Geschäftsrollen (Tabelle PersonInOrg)

Als Peer-Gruppe werden alle Personen zusammengefasst, die denselben Manager haben oder die derselben primären oder sekundären Abteilung angehören, wie die Person, die mit dem Attestierungsobjekt verbunden ist (= zu attestierende Person). Welche Personen zu einer Peer-Gruppe zusammengefasst werden, wird über Konfigurationsparameter festgelegt. Es muss mindestens einer der folgenden Konfigurationsparameter aktiviert sein.

  • QER | Attestation | PeerGroupAnalysis | IncludeManager: Personen, die denselben Manager haben, wie die zu attestierende Person

  • QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Personen, die derselben primären Abteilung angehören, wie die zu attestierende Person

  • QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Personen, deren sekundäre Abteilung der primären oder sekundären Abteilung der zu attestierenden Person entspricht

Welcher Anteil der Personen einer Peer-Gruppe die zu attestierende Mitgliedschaft bereits besitzen muss, wird über einen Schwellwert im Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold festgelegt. Der Schwellwert gibt das Verhältnis zwischen der Gesamtzahl der Personen in der Peer-Gruppe und der Anzahl der Person in der Peer-Gruppe, welche diese Mitgliedschaft bereits besitzen, an.

Zusätzlich kann festgelegt werden, dass Mitarbeiter keine funktionsfremden Mitgliedschaften besitzen dürfen. Das heißt, wenn die Mitgliedschaft und die zu attestierende Person zu unterschiedlichen Unternehmensbereichen gehören, soll der Attestierungsvorgang abgelehnt werden. Um diese Prüfung in die Peer-Gruppen-Analyse einzubeziehen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.

Ob eine Mitgliedschaft funktionsfremd ist, kann nur geprüft werden, wenn folgende Bedingungen erfüllt sind:

  • Die zu attestierende Person und die Mitglieder der Peer-Gruppe haben die Mitgliedschaft im IT Shop bestellt.

  • Der zu attestierenden Person ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.

  • Der Leistungsposition, die der Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.

Bei einer vollständig konfigurierten Peer-Gruppen-Analyse werden Attestierungsvorgänge automatisch genehmigt, wenn:

  • die zu attestierende Mitgliedschaft nicht funktionsfremd ist und

  • die Anzahl der Personen in der Peer-Gruppe, welche diese Mitgliedschaft bereits besitzen, einen festgelegten Schwellwert erreicht oder übersteigt.

Andernfalls werden die Attestierungsvorgänge automatisch abgelehnt.

Um diese Funktionalität nutzen zu können, stellt der One Identity Manager den Prozess ATT_AttestationCase_Peer group analysis und das Ereignis PeerGroupAnalysis bereit. Der Prozess wird über einen Entscheidungsschritt mit dem Entscheidungsverfahren EX ausgeführt.

Detaillierte Informationen zum Thema

Peer-Gruppen-Analyse für Attestierungen konfigurieren

Um die Peer-Gruppen-Analyse zu konfigurieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis.

  2. Aktivieren Sie mindestens einen der folgenden Konfigurationsparameter:

    • QER | Attestation | PeerGroupAnalysis | IncludeManager: Personen, die denselben Manager haben, wie die mit dem Attestierungsobjekt verbundene Person

    • QER | Attestation | PeerGroupAnalysis | IncludePrimaryDepartment: Personen, die derselben primären Abteilung angehören, wie die mit dem Attestierungsobjekt verbundene Person

    • QER | Attestation | PeerGroupAnalysis | IncludeSecondaryDepartment: Personen, deren sekundäre Abteilung der primären oder sekundären Abteilung der mit dem Attestierungsobjekt verbundenen Person entspricht

    Damit legen Sie fest, welche Personen zur Peer-Gruppe gehören. Es können auch zwei oder alle Konfigurationsparameter aktiviert werden.

  3. Um den Schwellwert für die Peer-Gruppe festzulegen, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | ApprovalThreshold und legen Sie einen Wert zwischen 0 und 1 fest.

    Der Standardwert ist 0,9. Das heißt, mindestens 90% der Mitglieder der Peer-Gruppe müssen die zu attestierende Mitgliedschaft bereits besitzen, damit der Attestierungsvorgang genehmigt wird.

  4. (Optional) Um zu prüfen, ob die zu attestierende Mitgliedschaft funktionsfremd ist, aktivieren Sie den Konfigurationsparameter QER | Attestation | PeerGroupAnalysis | CheckCrossfunctionalAssignment.

    • Stellen Sie sicher, dass folgende Bedingungen erfüllt sind:

      • Die zu attestierende Person und die Mitglieder der Peer-Gruppe haben die Mitgliedschaft im IT Shop bestellt.

      • Der zu attestierenden Person ist eine primäre Abteilung zugeordnet und dieser Abteilung ist ein Unternehmensbereich zugewiesen.

      • Der Leistungsposition, die der Mitgliedschaft zugeordnet ist, ist ein Unternehmensbereich zugewiesen.

      Es werden nur Unternehmensbereiche berücksichtigt, die den Leistungspositionen primär zugewiesen sind.

      Ausführliche Informationen zur Bearbeitung von Leistungspositionen finden Sie im One Identity Manager Administrationshandbuch für IT Shop. Ausführliche Informationen zu Unternehmensbereichen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  5. Erstellen Sie im Manager einen Entscheidungsworkflow mit mindestens einer Entscheidungsebene. Für den Entscheidungsschritt erfassen Sie mindestens folgende Daten:

    • Einzelschritt: EXWithPeerGroupAnalysis.

    • Entscheidungsverfahren: EX

    • Ereignis: PeerGroupAnalysis

    Das Ereignis startet den Prozess ATT_AttestationCase_Peer group analysis, welcher das Skript ATT_PeerGroupAnalysis_for_Attestation ausführt.

    Das Skript führt eine automatische Entscheidung aus und setzt den Typ des Entscheidungsschritts auf Zustimmung oder Ablehnung.

Detaillierte Informationen zum Thema
Verwandte Themen

Attestierungsvorgang steuern

Im Verlauf der Attestierung kann es notwendig sein, einen anderen als den standardmäßig verantwortlichen Attestierer mit der Attestierung zu beauftragen, beispielsweise weil ein verantwortlicher Attestierer abwesend ist. Möglicherweise werden zusätzliche Informationen über ein Attestierungsobjekt benötigt. Der One Identity Manager bietet verschiedene Möglichkeiten in einen offenen Attestierungsvorgang einzugreifen.

相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级