立即与支持人员聊天
与支持团队交流

Identity Manager 9.2 - Administrationshandbuch für Complianceregeln

Complianceregeln und Identity Audit
One Identity Manager Benutzer für das Identity Audit Basisdaten für die Regelerstellung Einrichten eines Regelwerkes Regelprüfung Mailvorlagen für Benachrichtigungen über das Identity Audit
Risikomindernde Maßnahmen für Complianceregeln Konfigurationsparameter für das Identity Audit

Regelverantwortliche pflegen

Über diese Aufgabe können Sie die Regelverantwortlichen für die ausgewählte Regel pflegen. Dafür weisen Sie der auf dem Stammdatenformular eingetragenen Anwendungsrolle für Ausnahmegenehmiger die Identitäten zu, die berechtigt sind, diese Regel zu bearbeiten.

HINWEIS: Die Änderungen werden für alle Regeln wirksam, denen diese Anwendungsrolle zugewiesen ist.

Um Identitäten als Regelverantwortliche zu berechtigen

  1. Wählen Sie im Manager die Kategorie Identity Audit > Regeln.

  2. Wählen Sie in der Ergebnisliste die Regel.

  3. Wählen Sie die Aufgabe Regelverantwortliche pflegen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Identitäten zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Identitäten entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Identität und doppelklicken Sie .

  5. Speichern Sie die Änderungen.
Verwandte Themen

Erstellen von Regelbedingungen

In der Regelbedingung stellen Sie die Berechtigungen zusammen, die zu einer Regelverletzung führen. In der Regelbedingung werden die betroffenen Identitäten und die betroffenen Berechtigungen separat eingeschränkt. Über die betroffenen Identitäten werden die Identitäten und ihre Subidentitäten ermittelt, auf welche die Regelbedingung anzuwenden ist. Über die betroffenen Berechtigungen werden die Eigenschaften definiert, die für die betroffenen Identitäten zu einer Regelverletzung führen. Die Berechtigungen werden über die Objektbeziehungen der betroffenen Identitäten ermittelt (Tabelle PersonHasObject).

TIPP: Wenn der Konfigurationsparameter QER | ComplianceCheck | SimpleMode | NonSimpleAllowed aktiviert ist, können Regelbedingungen sowohl im erweiterten Modus als auch in der vereinfachten Definition erstellt werden.

Um die vereinfachte Definition zu nutzen

  • Aktivieren Sie in den allgemeinen Stammdaten der Regel die Option Regel für zyklische Prüfung und Risikobewertung im IT Shop.

Weitere Informationen finden Sie unter Regelbedingungen im erweiterten Modus.

Grundlagen zum Umgang mit dem Regeleditor

Bei der Formulierung der Regelbedingungen unterstützt Sie der Regeleditor. Hier können Sie vordefinierte Bedingungstypen und Operatoren nutzen. Die komplette Datenbankabfrage wird intern zusammengesetzt. Ist der Konfigurationsparamter QER | ComplianceCheck | SimpleMode | ShowDescriptions aktiviert, werden in der vereinfachten Definition zusätzliche Eingabefelder für eine nähere Beschreibung der einzelnen Regelblöcke angezeigt.

Abbildung 2: Regeleditor für die vereinfachte Definition von Regeln

Die Steuerelemente des Regeleditors stellen Operatoren und Eigenschaften zur Verfügung, die Sie zur Formulierung der Teilbedingungen benötigen. In einfachen Auswahllisten können Sie nur einen Eintrag auswählen. In erweiterten Auswahllisten mit einer hierarchischen Darstellung der Eigenschaften können Sie mehrere Einträge auswählen, die über eine Oder-Verknüpfung in die Bedingung eingebunden werden. Über Eingabefelder ist die freie Eingabe von Text zulässig. Die verfügbaren Auswahllisten und Eingabefelder werden dynamisch eingeblendet.

Eine Regelbedingung setzt sich aus mehreren Regelblöcken zusammen. Eine Regelverletzung wird festgestellt, wenn eine Identität mit ihren Eigenschaften und Zuweisungen allen Regelblöcken zugeordnet werden kann.

Es gibt zwei Arten von Regelblöcken:

  • Betroffene Identitäten

    Jede Regel muss genau einen Regelblock enthalten, der die Identitäten ermittelt, auf welche die Regel angewendet werden soll. Standardmäßig werden alle Identitäten mit allen Subidentitäten beachtet. Sie können die betroffenen Identitäten jedoch weiter einschränken.

  • Betroffene Berechtigungen

    Definieren Sie mindestens einen Regelblock, der die betroffenen Berechtigungen ermittelt. Hier werden die Eigenschaften zusammengestellt, die für die betroffenen Identitäten zu einer Regelverletzung führen. Folgende Berechtigungen können Sie in den Regelblöcken prüfen: Mitgliedschaften in hierarchischen Rollen, Systemberechtigungen, Systemrollen, Software, Ressourcen.

Mit dem Regeleditor können Sie beliebig viele Teilbedingungen innerhalb der einzelnen Regelblöcke einfügen und miteinander verknüpfen. Über die Optionen Alle und Mindestens eine legen Sie fest, ob eine oder alle Teilbedingungen eines Regelblocks erfüllt sein müssen.

Tabelle 21: Bedeutung der Symbole im Regeleditor

Symbol

Bedeutung

Hinzufügen einer weiteren Teilbedingung beziehungsweise eines weiteren Regelblocks. Es wird eine neue Zeile für die Bedingungseingabe eingeblendet.

Löschen der Teilbedingung beziehungsweise des Regelblocks. Die Zeile wird ausgeblendet.

Öffnen des Vorschaufensters. Es werden die betroffenen Objekte angezeigt.

Blendet die Liste der betroffenen Objekte im Vorschaufenster ein.

Um eine Vorschau der betroffenen Objekte anzuzeigen

  1. Klicken Sie im Regeleditor an der Bedingung oder einer Teilbedingung .

  2. Um die Liste der betroffenen Objekte anzuzeigen, klicken Sie im Vorschaufenster .

Festlegen der betroffenen Identitäten

Jede Regel muss genau einen Regelblock enthalten, der die betroffenen Identitäten festlegt.

Abbildung 3: Regelblock für die betroffenen Identitäten

Die betroffenen Identitäten grenzen Sie über folgende Optionen ein.

  • Von allen Identitäten

    Alle Identitäten werden berücksichtigt.

  • Nur von Identitäten, die alle|mindestens eine der folgenden Bedingungen erfüllen

    Die betroffenen Identitäten werden durch eine Bedingung eingeschränkt, beispielsweise "Alle Identitäten der Abteilung A" oder "Alle externen Identitäten". Um die betroffenen Identitäten zu ermitteln, formulieren Sie entsprechende Teilbedingungen.

    Für die Einschränkung der betroffenen Identitäten legen Sie in der ersten Auswahlliste einer Teilbedingung den Bedingungstyp fest.

    • Eigenschaft: Eigenschaften der Identitäten. Die Auswahlliste der zulässigen Eigenschaften ist bereits auf die wichtigsten Eigenschaften einer Identität eingeschränkt.

    • Für das Benutzerkonto mit dem Zielsystemtyp: Eigenschaften der Benutzerkonten, mit denen die Identitäten verbunden sind, mit dem gewählten Zielsystemtyp.

    • SQL Abfrage: Frei definierte SQL Bedingung (Where-Klausel). Ausführliche Informationen zum Where-Klausel Assistenten finden Sie im One Identity Manager Anwenderhandbuch für die Benutzeroberfläche der One Identity Manager-Werkzeuge.

Legen Sie fest, ob Haupt- und Subidentitäten einzeln oder gemeinsam durch die Regelprüfung betrachtet werden sollen.

  • Eine einzelne Haupt- oder Subidentität

    Wenn eine Identität Subidentitäten hat, werden diese bei der Regelprüfung einzeln und unabhängig voneinander betrachtet. Die Regel ist verletzt, wenn die Hauptidentität oder eine Subidentität die Regelbedingung erfüllt.

    Die Regel ist nicht verletzt, wenn die Hauptidentität die Regelbedingung nur aufgrund ihrer Subidentitäten erfüllt.

  • Die Kombination von Haupt- und Subidentitäten

    Wenn eine Identität Subidentitäten hat und die Hauptidentität zu den betroffenen Identitäten gehört, werden diese bei der Regelprüfung zusammen betrachtet. Die Regel ist verletzt, wenn

    • die Hauptidentität oder eine Subidentität die Regelbedingung erfüllt

      - ODER -

    • die Hauptidentität die Regelbedingung nur aufgrund ihrer Subidentitäten erfüllt.

    Wenn nur die Subidentität zu den betroffenen Identitäten gehört, ist die Regel nur dann verletzt, wenn die Subidentität selbst die Regelbedingung erfüllt. Wenn die Hauptidentität oder eine andere Subidentität die Regelbedingung erfüllt, ist die Regel für die ermittelte Subidentität nicht verletzt.

Ausführliche Informationen zu Haupt- und Subidentitäten finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Verwandte Themen
相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级