21.3 Sicherheit bei der Bereitstellung

Wenn sich ein Benutzer bei der Identity Manager-Benutzeranwendung anmeldet, authentifiziert das Sicherheitssystem diesen Benutzer und setzt Zugriffssteuerungen, um Bereitstellungs- und Workflow-Objekte vor unbefugtem Gebrauch zu schützen. Dadurch wird sichergestellt, dass der Benutzer nur die Bereitstellungsanforderungsdefinitionen sehen kann, auf die er Zugriff hat. Neben der Ausführung von Authentifizierungs- und Autorisierungsservices für die Benutzeranwendung verwaltet das Sicherheitssystem Vertretungs- und Delegiertenzuweisungen.

Bei aktivierter Protokollierung werden alle Aktionen, die von einer Vertretung oder von einem Delegierten ausgeführt werden, gemeinsam mit den Aktionen anderer Benutzer protokolliert. Wenn eine Aktion von einer Vertretung oder einem Delegierten eines Benutzers ausgeführt wird, zeigt dies die Protokollmeldung eindeutig an. Außerdem wird auch jede neue Vertretungs- oder Delegiertenzuweisung protokolliert.

Wenn eine Bereitstellungsanforderungsdefinition so konfiguriert ist, dass Email-Benachrichtigungen generiert werden, werden neben den Adressaten auch die Vertretungen per Email benachrichtigt. Delegierte erhalten keine E-Mail-Benachrichtigungen.

Sicherheitsfunktionen des WorkflowsDas Sicherheitssystem erkennt folgende Sicherheitsfunktionen:

Funktion

Beschreibung

Rechte

Benutzeranwendungsadministrator

Locksmith-Benutzer mit vollständigen Verwaltungsrechten.

Der Benutzeranwendungsadministrator kann folgende Aufgaben in iManager ausführen:

  • Konfigurieren von Bereitstellungsanforderungen
  • Verwaltung von bereits aktiven Workflows

Der Benutzeranwendungsadministrator kann folgende Aufgaben in der Benutzeranwendung ausführen:

  • Anzeigen und Bearbeiten aller in der Warteschlange befindlichen Workflow-Aufgaben.
  • Definieren von Vertretungs- und Delegiertenzuweisungen für alle Benutzer des Systems.
  • Anzeigen von versteckten Informationen (versteckte Attribute) für alle Benutzer des Systems.
  • Erstellen von Aufgabengruppenmanagern und deren Zuweisung zu Gruppen. Der Benutzeranwendungsadministrator ist der einzige Benutzer, der Aufgabengruppenmanager erstellen und zuweisen kann.

HINWEIS:Die Registerkarte Administration der Identity Manager-Benutzeranwendung bietet Werkzeuge zum Zuweisen von Rechten für die Verwaltung der Benutzeranwendung. Wenn Sie diese Registerkarte verwenden möchten, müssen Sie sich zunächst als der Benutzer anmelden, der bei der Installation als Benutzeranwendungsadministrator festgelegt wurde.

Weitere Informationen zur Verwendung der Sicherheitsfunktionen der Benutzeranwendung finden Sie in Schnitt 11.0, Sicherheitskonfiguration.

Vorgesetzter

Supervisor, dem ein Mitarbeiter direkt unterstellt ist. Jeder Benutzer hat nur einen Vorgesetzten.

VORSCHLAG:Der Vorgesetzte kann auch als ein administrativer Manager verstanden werden.

Der Vorgesetzte verfügt über folgende Rechte:

  • Anzeigen aller Aufgaben, die sich in den Workflow-Warteschlangen seines Teams befinden. Diese Funktion gilt für eine einzelne Ebene in der Verwaltungshierarchie, daher kann eine übergeordnete Person eines Vorgesetzten nicht die Aufgaben von Mitarbeitern sehen, die dem Vorgesetzten direkt unterstellt sind.
  • Bearbeiten von Aufgaben für direkt unterstellte Mitarbeiter, es sei denn, ein direkt Unterstellter hat eine Aufgabe, die einer Gruppe zugeordnet ist, deren Aufgabengruppenmanager nicht der Vorgesetzte ist. In diesem Fall kann der Vorgesetzte die Aufgabe zwar anzeigen, diese aber nicht bearbeiten. Bei der Eskalation wird die Aufgabe nicht zum Vorgesetzten, sondern zum Aufgabengruppenmanager verschoben.
  • Beanspruchung und Rückgabe von Aufgaben sowie Neuzuweisung von Aufgaben an die Teammitglieder.
  • Definition von Vertretungs- und Delegiertenbeziehungen für ihn selbst und seine Teammitglieder.
  • Anzeigen von versteckten Attributen für seine Teammitglieder.

Aufgabengruppenmanager

Benutzer, der für den Aufgabensatz zuständig ist, der einer Aufgabengruppe zugeordnet ist. Eine Aufgabengruppe ist eine Erweiterung des Objekts „LDAP-Gruppe“. Jede Aufgabengruppe kann nur einen Aufgabengruppenmanager haben.

Aufgabengruppenmanager werden vom Benutzeranwendungsadministrator zugewiesen.

Wenn eine Aufgabe einer Gruppe zugewiesen ist, enthält das srvrprvTaskManager-Attribut für die Gruppe den DN des zum Aufgabengruppenmanager bestimmten Benutzers. Um eine bessere Leistung zu erzielen, werden Aufgabengruppenmanager auch durch ein Attribut auf dem Benutzerobjekt identifiziert. Das srvprvIsTaskManager-Attribut wird für den Benutzer, der zum Aufgabengruppenmanager bestimmt wurde, auf „Wahr“ gesetzt.

Der Aufgabengruppenmanager verfügt über folgende Rechte:

  • Anzeigen und Bearbeiten aller Aufgaben, die einer unter seiner Leitung stehenden Gruppe zugewiesen sind.

Der Aufgabengruppenmanager verfügt nicht über folgende Rechte:

  • Erstellen von Ressourcen oder Zurückziehen von Anforderungen.
  • Definieren von Vertretungs- oder Delegiertenbeziehungen.
  • Anzeigen von versteckten Attributen für seine Teammitglieder.

HINWEIS:Jeder Benutzer kann versteckte Attribute anzeigen, die seiner eigenen Identität zugeordnet sind.

Definieren von Vertretungs- und DelegiertenbeziehungenVerwenden Sie zum Definieren einer Vertretungszuweisung für einen Benutzer die Seite Team-Vertretungszuweisungen der Registerkarte Anforderungen und Genehmigungen auf der Identity Manager-Schnittstelle. Verwenden Sie zum Definieren einer Delegiertenzuweisung für einen Benutzer die Seite Team-Delegiertenzuweisungen, die auch auf der Registerkarte Anforderungen und Genehmigungen verfügbar ist.

Erstellen von AufgabengruppenmanagernVerwenden Sie zum Definieren eines Aufgabengruppenmanagers für eine Aufgabengruppe die Seite Benutzer oder Gruppe erstellen der Registerkarte Identitätsselbstbedienung auf der Identity Manager-Schnittstelle.

Ausführliche Informationen zum Definieren von Aufgabengruppenmanagern, Vertretungen und Delegierten finden Sie im Identity Manager-Benutzeranwendung- Benutzerhandbuch.