立即与支持人员聊天
与支持团队交流

Identity Manager 8.1.5 - Administrationshandbuch für Complianceregeln

Complianceregeln und Identity Audit
One Identity Manager Benutzer für das Identity Audit Basisdaten für die Regelerstellung Einrichten eines Regelwerkes Regelprüfung Unternehmensspezifische Mailvorlagen für Benachrichtigungen erstellen
Risikomindernde Maßnahmen Konfigurationsparameter für das Identity Audit

Beispiele für einfache Regeln

Die folgenden Beispiele zeigen, wie Regeln mit Hilfe des Regeleditors erstellt werden und welche Auswirkungen die einzelnen Optionen haben.

Beispiel 1

Personen der Abteilung A dürfen nicht gleichzeitig der Abteilung B angehören.

Definiert werden:

  1. Die Option von allen Mitarbeitern und die Kombination aller Identitäten im Regelblock für die betroffene Personengruppe,

  2. zwei Regelblöcke für die betroffenen Berechtigungen mit der Option mindestens eine Rolle oder Organisationszuordnung.

Abbildung 5: Regelbedingung für Beispiel 1

Beispiel 2

Personen, die der Abteilung Vertrieb oder der Abteilung Einkauf angehören, dürfen nicht auf die Active Directory Gruppe "Development" zugreifen. Diese Regel soll nur für Personen geprüft werden, die aktiviert sind.

Definiert werden:

  1. die Optionen nur von Mitarbeitern, alle und eine einzelne Identität im Regelblock für die betroffene Personengruppe,

  2. zwei Regelblöcke für die betroffenen Berechtigungen

    1. mit der Option mindestens eine Rolle oder Organisationszuordnung und

    2. mit der Option mindestens eine Berechtigung.

Abbildung 6: Regelbedingung für Beispiel 2

Beispiel 3

Alle zulässigen Berechtigungen werden über Systemrollen an die Personen zugewiesen. Eine Person darf maximal zwei Systemrolle besitzen. Wenn eine Person mehrere Identitäten besitzt, dann ist die Regel auch dann verletzt, wenn die Berechtigungen aller Subidentitäten zusammen zu einer Regelverletzung führen.

Es gibt drei Systemrollen: Paket für Abteilung Finanzen, Paket für Abteilung Einkauf, Paket für Abteilung Vertrieb

Jenny Basset hat zwei Subidentitäten. Der Hauptidentität und den beiden Subidentitäten sind jeweils eine Systemrolle zugewiesen.

Jenny Basset (HI): Paket für Abteilung Finanzen

Jenny Basset (SI1): Paket für Abteilung Einkauf

Jenny Basset (SI2): Paket für Abteilung Vertrieb

Definiert werden:

  1. die Option von allen Mitarbeitern und die Kombination aller Identitäten im Regelblock für die betroffene Personengruppe

  2. ein Regelblock für die betroffenen Berechtigungen mit der Option mindestens eine Berechtigung vom Typ Systemrollen die alle der folgenden Teilbedingungen erfüllt

  3. eine Teilbedingung: Anzeigename enthält "Paket für"

  4. Die Anzahl der dem Mitarbeiter zugewiesenen Berechtigungen ist größer oder gleich 3.

Da die Hauptidentität von Jenny Basset aufgrund ihrer Subidentitäten alle drei Systemrollen besitzt, verletzt die Hauptidentität (und nur diese) die Regel.

Die Regelprüfung ermittelt das selbe Ergebnis, wenn die Regel folgendermaßen formuliert ist.

Regelbedingungen im erweiterten Modus

Es gibt zwei Möglichkeiten Regelbedingungen zu definieren, die vereinfachte Definition und den erweiterten Modus. Die vereinfachte Definition mit dem Regeleditor wird standardmäßig zum Erstellen von Regelbedingungen genutzt. Weitere Informationen finden Sie unter Grundlagen zum Umgang mit dem Regeleditor.

Im erweiterten Modus werden in der Regelbedingung die Eigenschaften von Personen definiert, die zu einer Regelverletzung führen. Die Zuweisungen werden direkt über die jeweiligen Tabellen ermittelt, in denen die ausgewählten Objekte abgebildet sind (beispielsweise PersonHasSAPGroup oder Person).

Um den erweiterten Modus zu nutzen

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ComplianceCheck | SimpleMode | NonSimpleAllowed.

    Auf dem Stammdatenformular einer Regel werden zusätzlich die Optionen Regel für zyklische Prüfung und Risikobewertung im IT Shop und Regel nur für zyklische Prüfung angezeigt.

  2. Aktivieren Sie die Option Regel nur für zyklische Prüfung.

  3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

    Es wird der Filterdesigner angezeigt.

Hinweis: Nach der Eingabe einer Regelbedingung im erweiterten Modus können Sie nicht mehr zur vereinfachten Definition wechseln!
Hinweis: Regeln im erweiterten Modus werden bei Regelprüfungen innerhalb von Genehmigungsverfahren für IT Shop-Bestellungen nicht berücksichtigt. Für diese Regeln können keine IT Shop Eigenschaften festgelegt werden. Der Tabreiter IT Shop Eigenschaften wird auf dem Stammdatenformular dieser Regeln nicht angezeigt.

Abbildung 7: Bedingung im erweiterten Modus

Die Regelbedingungen im erweiterten Modus beziehen sich auf das Basisobjekt Personen (Tabelle Person). Die komplette Datenbankabfrage wird intern zusammengesetzt:

Select Firstname, Lastname from Person where <Regelbedingung> order by 1,2

HINWEIS: Wenn Sie im Filterdesigner den Bedingungstyp Für das Konto mit dem Zielsystemtyp oder Für die Berechtigung mit dem Zielsystemtyp wählen, können nur Spalten ausgewählt werden, die im Unified Namespace abgebildet sind und für die die Spalteneigenschaft Anzeige im Filterdesigner aktiviert ist.

Ausführliche Informationen zur Bedienung des Filterdesigners finden Sie im One Identity Manager Anwenderhandbuch für die Benutzeroberfläche der One Identity Manager-Werkzeuge.

Tabelle 28: Zulässige Bedingungstypen

Bedingungstyp

Bedeutung

Eigenschaft

Eigenschaften der Personenobjekte. Die Auswahlliste der zulässigen Eigenschaften ist bereits auf die wichtigsten Eigenschaften einer Person eingeschränkt.

Für das Konto mit dem Zielsystemtyp

Benutzerkonto der Person. Die zulässigen Benutzerkonto-Eigenschaften richten sich nach der Auswahl des Zielsystems.

Für die Berechtigung mit dem Zielsystemtyp

Zielsystemgruppe der Person. Die zulässigen Gruppeneigenschaften richten sich nach der Auswahl des Zielsystems.

SQL Abfrage

Freie Eingabe einer SQL-Bedingung (Where-Klausel). Um den Where-Klausel Assistenten zu nutzen, klicken Sie .

Regelbedingung als SQL-Abfrage

Regelbedingungen im erweiterten Modus können auch direkt als SQL-Abfrage formuliert werden.

Um eine Regelbedingung direkt als SQL-Abfrage zu formulieren

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ComplianceCheck | PlainSQL.

  2. Wählen Sie die Option Regel nur für zyklische Prüfung.

  3. Wählen Sie die Aufgabe SQL Definition aktivieren an der Arbeitskopie.

Hinweis: Wenn der Konfigurationsparameter QER | ComplianceCheck | SimpleMode deaktiviert ist und der Konfigurationsparameter QER | ComplianceCheck | PlainSQL aktiviert ist, können Regelbedingungen nur über eine SQL-Abfrage formuliert werden.

Abbildung 8: Direkte Eingabe der SQL-Abfrage

Regeln löschen

Wichtig: Wenn Sie eine Regel löschen, werden alle Informationen über die Regelbedingung und die Regelverletzungen unwiderruflich gelöscht! Die Informationen können zu einem späteren Zeitpunkt nicht wiederhergestellt werden.

Erstellen Sie vor dem Löschen einen Bericht über die Regel und ihre aktuellen Regelverletzungen, wenn Sie die Informationen (beispielsweise zur Revisionssicherheit) aufbewahren wollen.

Eine Regel kann gelöscht werden, wenn keine Regelverletzungen für die Regel vorhanden sind.

Um eine Regel zu löschen:

  1. Wählen Sie im Manager die Kategorie Identity Audit | Regeln.

  2. Wählen Sie in der Ergebnisliste die zu löschende Regel.

  3. Wählen Sie die Aufgabe Regel deaktivieren.

    Vorhandene Regelverletzungen werden durch den DBQueue Prozessor entfernt.

  4. Klicken Sie in den Symbolleisten .

    Die Regel, das zugehörige Objekt für Regelverletzungen und die zugehörige Arbeitskopie werden gelöscht.

相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级