1.1 Identity Manager und Sie

Novell Identity Manager ist eine Systemsoftware, mit der Ihre Organisation die Zugriffsanforderungen der Benutzer-Community sicher verwalten kann. Wenn Sie Mitglied dieser Benutzer-Community sind, haben Sie durch Identity Manager verschiedene Vorteile. So ermöglicht Identity Manager Ihrer Organisation unter anderem Folgendes:

Damit Sie und Ihr Team von diesen Vorteilen profitieren können, bietet die Identity Manager-Benutzeranwendung eine Benutzeroberfläche, die Sie von Ihrem Webbrowser aus verwenden können.

1.1.1 Einführung in die Identity Manager-Benutzeranwendung

Die Identity Manager-Benutzeranwendung ermöglicht Ihnen den Zugriff auf die Informationen, Rollen, Ressourcen und Funktionen von Identity Manager. Der Systemadministrator legt fest, welche Informationen Sie in der Identity Manager-Benutzeranwendung anzeigen und welche Aufgaben Sie ausführen dürfen. Dies umfasst in der Regel Folgendes:

  • Identitätsselbstbedienung, die Ihnen Folgendes ermöglicht:

    • Organigramme anzeigen

    • Anwendungen angeben, die mit einem Benutzer verknüpft sind, sofern Sie Administrator sind. (Erfordert das rollenbasierte Bereitstellungsmodul für Identity Manager.)

    • Informationen Ihres Profils bearbeiten

    • Verzeichnisse durchsuchen

    • Ihr Passwort, die Sicherheitsantwort für Ihr Passwort oder den Passworthinweis ändern

    • Ihren Passwortrichtlinien- und Passwortsynchronisierungsstatus überprüfen

    • Konten für neue Benutzer und Gruppen erstellen (sofern Sie dazu berechtigt sind)

  • Rollen, die Ihnen Folgendes ermöglichen:

    • Rollenzuweisungen anfordern und das Genehmigungsverfahren für Rollenzuweisungsanforderungen verwalten

    • Den Status Ihrer Anforderungen überprüfen

    • Rollen und Rollenbeziehungen definieren

    • Funktionstrennungsbeschränkungen definieren und das Genehmigungsverfahren in Situationen verwalten, in denen ein Benutzer die Aufhebung einer Beschränkung anfordert

    • Den Rollenkatalog durchsuchen

    • Detaillierte Berichte ansehen, die die im Katalog definierten Rollen und Funktionstrennungsbeschränkungen sowie den aktuellen Zustand von Rollenzuweisungen, Funktionstrennungsausnahmen und Benutzerberechtigungen auflisten.

    HINWEIS:Das Definieren von benutzerdefinierten Rollen ist nur in der Advanced Edition von Identity Manager 4.0.1 möglich. Die Standard Edition unterstützt nur die Verwendung von Systemrollen.

  • Ressourcen, die Ihnen Folgendes ermöglichen:

    • Ressourcenzuweisungen anfordern und das Genehmigungsverfahren für Ressourcenzuweisungsanforderungen verwalten

    • Den Status Ihrer Ressourcenanforderungen überprüfen

    • Den Ressourcenkatalog durchsuchen

    HINWEIS:Ressourcen benötigen die Advanced Edition von Identity Manager 4.0.1. In der Standard Edition wird diese Funktion nicht unterstützt.

  • Workflow-Prozesse, die Ihnen Folgendes ermöglichen:

    • Benutzerdefinierte Workflow-Prozesse anfordern

    • Die Genehmigung Ihrer Rollen-, Ressourcen- und Prozessanforderungen prüfen

    • Ihnen zugewiesene Aufgaben zur Genehmigung anderer Anforderungen durchführen

    • Prozessanforderungen und Genehmigungen als Vertreter oder Delegierter einer anderen Person durchführen

    • Eine andere Person als Ihren Vertreter oder Delegierten ernennen (sofern Sie dazu berechtigt sind)

    • Die gesamten Anforderungs- und Genehmigungsfunktionen für Ihr Team verwalten (sofern Sie dazu berechtigt sind)

    HINWEIS:Workflow-Prozesse benötigen die Advanced Edition von Identity Manager 4.0.1. In der Standard Edition wird diese Funktion nicht unterstützt.

  • Konformität, die Ihnen Folgendes ermöglicht:

    • Prozesse zur Benutzerprofilbeglaubigung anfordern

    • Prozesse zur Funktionstrennungsbeglaubigung (SoD) anfordern

    • Prozesse zur Rollenzuweisungsbeglaubigung anfordern

    • Prozesse zur Benutzerzuweisungsbeglaubigung anfordern

    HINWEIS:Die Konformitätsfunktion steht nur in der Advanced Edition von Identity Manager 4.0.1 zur Verfügung. In der Standard Edition wird diese Funktion nicht unterstützt.

WICHTIG:Die Benutzeranwendung ist eine Anwendung und kein Framework. In der Produktdokumentation wird beschrieben, welche Bereiche in der Benutzeranwendung geändert werden können. Das Ändern von Bereichen, die nicht in der Produktdokumentation aufgeführt sind, wird nicht unterstützt.

1.1.2 Gesamtüberblick

Abbildung 1-1 Die IDM-Benutzeranwendung stellt die Benutzeroberfläche für Identity Manager bereit

1.1.3 Typische Verwendungsweise

Nachfolgend wird anhand einiger Beispiele erläutert, wie die Identity Manager-Benutzeranwendung in einer Organisation in der Regel verwendet wird.

Arbeiten mit der Identitätsselbstbedienung

  • Ella (eine Endbenutzerin) hat ihr Passwort vergessen und stellt dieses bei der Anmeldung mithilfe der Identitätsselbstbedienung wieder her.

  • Erik (ein Endbenutzer) führt eine Suche nach allen Mitarbeitern an seinem Standort durch, die Deutsch sprechen.

  • Eduardo (ein Endbenutzer) durchsucht das Organigramm der Organisation, findet Ella und klickt auf das Email-Symbol, um ihr eine Nachricht zu senden.

Arbeiten mit Rollen und Ressourcen

  • Maxine (eine Rollenmanagerin) erstellt die Geschäftsrollen „Krankenschwester“ und „Arzt“ sowie die IT-Rollen „Medikament verwalten“ und „Rezept ausstellen“. Maxine erstellt mehrere Ressourcen, die für diese Rollen erforderlich sind, und verknüpft die Ressourcen mit den Rollen.

  • Maxine (ein Rollenmanager) definiert eine Beziehung zwischen den Rollen „Krankenschwester“ und „Medikament verabreichen“ und gibt an, dass die Rolle „Krankenschwester“ die Rolle „Medikament verabreichen“ enthält. Maxine definiert außerdem eine Beziehung zwischen den Rollen „Rezept ausstellen“ und „Arzt“ und gibt an, dass die Rolle „Arzt“ die Rolle „Rezept ausstellen“ enthält.

  • Chester (ein Sicherheitsbeauftragter) definiert eine Funktionstrennungsbeschränkung, die angibt, dass ein potenzieller Konflikt zwischen den Rollen „Arzt“ und „Krankenschwester“ besteht. Dies bedeutet, dass für gewöhnlich ein Benutzer nicht gleichzeitig beiden Rollen zugewiesen sein darf. In einigen Fällen kann es vorkommen, dass eine Person, die eine Rollenzuweisung anfordert, diese Beschränkung aufheben möchte. Damit eine Funktionstrennungsausnahme definiert werden kann, muss die Person, die eine Zuweisung anfordert, eine Begründung angeben.

  • Ernest (ein Endbenutzer) durchsucht eine Liste mit Rollen, die ihm zur Verfügung stehen, und fordert eine Zuweisung zur Rolle „Krankenschwester“ an.

  • Amelia (eine Genehmigerin) erhält eine Benachrichtigung über eine Genehmigungsanforderung per Email (die eine URL enthält). Sie klickt auf den Link, woraufhin ein Genehmigungsformular geöffnet wird, und sie genehmigt die Anforderung.

  • Arnold (ein Rollenmanager) fordert an, dass Ernest die Rolle „Arzt“ zugewiesen wird. Er wird benachrichtigt, dass ein potenzieller Konflikt zwischen der Rolle „Arzt“ und der Rolle „Krankenschwester“ besteht, die Ernest bereits zugewiesen wurde. Er liefert eine Begründung für eine Ausnahme von der Funktionstrennungsbeschränkung.

  • Edward (ein Funktionstrennungsgenehmiger) empfängt per Email eine Benachrichtigung über einen Funktionstrennungskonflikt. Er genehmigt Arnolds Anforderung auf Aufhebung der Funktionstrennungsbeschränkung.

  • Amelia (eine Genehmigerin) erhält per Email eine Benachrichtigung über eine Genehmigungsanforderung für die Rolle „Arzt“. Sie genehmigt Arnolds Anforderung auf Zuweisung von Ernest zur Rolle „Arzt“.

  • Bill (ein Rollen-Auditor) liest den Bericht zu Verletzungen und Ausnahmen bei der Funktionstrennung und sieht, dass Ernest sowohl der Rolle „Arzt“ als auch „Krankenschwester“ zugewiesen wurde. Darüber hinaus stellt er fest, dass Ernest die mit diesen Rollen verknüpften Ressourcen zugewiesen wurden.

Arbeiten mit Prozessanforderungen

  • Ernie (ein Endbenutzer) durchsucht eine Liste mit Ressourcen, die ihm zur Verfügung stehen, und fordert Zugriff auf das Siebel*-System an.

  • Amy (eine Genehmigerin) erhält eine Benachrichtigung über eine Genehmigungsanforderung per Email (die eine URL enthält). Sie klickt auf den Link, woraufhin ein Genehmigungsformular geöffnet wird, und sie genehmigt die Anforderung.

  • Ernie prüft den Status der von ihm eingereichten Anforderung des Zugriffs auf das Siebel-System (die jetzt zur Genehmigung an eine zweite Person weitergeleitet wurde). Er sieht, dass die Anforderung noch bearbeitet wird.

  • Amy geht in Urlaub und gibt an, dass sie vorübergehend nicht verfügbar ist. Während ihrer Abwesenheit werden ihr keine neuen Genehmigungsaufgaben zugeteilt.

  • Amy öffnet ihre Genehmigungsliste, sieht, dass sie vor ihrem Urlaub nicht mehr alle Anforderungen bearbeiten kann, und leitet einige davon an Kollegen weiter.

  • Pat (ein Verwaltungsassistent, der als Vertreter von Amy agiert) öffnet die Aufgabenliste von Amy und führt eine Genehmigungsaufgabe für sie durch.

  • Max (ein Vorgesetzter) prüft die Aufgabenlisten von Mitarbeitern seiner Abteilung. Er weiß, dass Amy in Urlaub ist. Daher teilt er Aufgaben anderen Mitarbeitern seiner Abteilung zu.

  • Max initiiert eine Anforderung für ein Datenbankkonto für einen Mitarbeiter seiner Abteilung, dessen direkter Vorgesetzter er ist.

  • Max ernennt Dan zum autorisierten Delegierten von Amy.

  • Dan (jetzt ein delegierter Genehmiger) empfängt Amys Aufgaben, während sie abwesend ist.

  • Max beschäftigt einen Praktikanten, der nicht in das HR-System eingegeben werden soll. Der Systemadministrator erstellt einen Benutzerdatensatz für den Praktikanten und fordert für ihn die Zugriffsberechtigung für Notes, Active Directory* und Oracle* an.

Arbeiten mit der Konformitätsfunktion

  • Maxine (eine Rollenmanagerin) erstellt die Geschäftsrollen „Krankenschwester“ und „Arzt“ sowie die IT-Rollen „Medikament verwalten“ und „Rezept ausstellen“.

  • Maxine (ein Rollenmanager) definiert eine Beziehung zwischen den Rollen „Krankenschwester“ und „Medikament verabreichen“ und gibt an, dass die Rolle „Krankenschwester“ die Rolle „Medikament verabreichen“ enthält. Maxine definiert außerdem eine Beziehung zwischen den Rollen „Rezept ausstellen“ und „Arzt“ und gibt an, dass die Rolle „Arzt“ die Rolle „Rezept ausstellen“ enthält.

  • Chester (ein Sicherheitsbeauftragter) definiert eine Funktionstrennungsbeschränkung, die angibt, dass ein potenzieller Konflikt zwischen den Rollen „Arzt“ und „Krankenschwester“ besteht. Dies bedeutet, dass für gewöhnlich ein Benutzer nicht gleichzeitig beiden Rollen zugewiesen sein darf. In einigen Fällen kann es vorkommen, dass eine Person, die eine Rollenzuweisung anfordert, diese Beschränkung aufheben möchte. Damit eine Funktionstrennungsausnahme definiert werden kann, muss die Person, die eine Zuweisung anfordert, eine Begründung angeben.

  • Arnold (ein Rollenmanager) fordert an, dass Ernest die Rolle „Arzt“ zugewiesen wird. Er wird benachrichtigt, dass ein potenzieller Konflikt zwischen der Rolle „Arzt“ und der Rolle „Krankenschwester“ besteht, die Ernest bereits zugewiesen wurde. Er liefert eine Begründung für eine Ausnahme von der Funktionstrennungsbeschränkung.

  • Philip (ein Konformitätsmoduladministrator) initiiert den Prozess zur Rollenzuweisungsbeglaubigung für die Rolle „Krankenschwester“.

  • Fiona (eine Beglaubigerin) wird per Email (die eine URL enthält) über die Beglaubigungsaufgabe benachrichtigt. Sie klickt auf den Link, woraufhin ein Beglaubigungsformular angezeigt wird. Sie beantwortet die Beglaubigungsfrage positiv und bestätigt auf diese Weise, dass die Informationen richtig sind.

  • Philip (ein Konformitätsmoduladministrator) initiiert eine neue Anforderung für einen Prozess zur Benutzerprofilbeglaubigung für die Benutzer in der Gruppe „Personal“.

  • Jeder Benutzer in der Gruppe „Personal“ wird per Email (die eine URL enthält) über die Beglaubigungsaufgabe benachrichtigt. Jeder Benutzer klickt auf den Link, woraufhin ein Beglaubigungsformular angezeigt wird. Über das Formular kann der Benutzer die Werte bestimmter Attribute des Benutzerprofils überprüfen. Nach der Überprüfung der Angaben beantwortet jeder Benutzer die Beglaubigungsfrage.