14.1 Allgemeines zur Registerkarte „Funktionen“

Die Registerkarte Funktionen ermöglicht Ihnen eine einfache Ausführung von funktionsbasierten Bereitstellungsaktionen. Mit diesen Aktionen können Sie Funktionsdefinitionen und Funktionszuweisungen innerhalb Ihrer Organisation verwalten. Funktionszuweisungen können Ressourcen innerhalb einer Firma zugeordnet werden, z. B. Benutzerkonten, Computern und Datenbanken. Zum Beispiel können Sie mithilfe der Registerkarte Funktionen Folgendes tun:

Wenn eine Funktionszuweisungsanforderung die Berechtigung von einer oder mehreren Personen in einer Organisation erfordert, wird durch die Anforderung ein Workflow gestartet. Der Workflow koordiniert die Genehmigungen, die zur Erfüllung der Anforderung benötigt werden. Einige Funktionszuweisungsanforderungen müssen von einer einzelnen Person genehmigt werden, andere müssen von mehreren Personen genehmigt werden. In manchen Fällen kann eine Anforderung auch ohne Genehmigung erfüllt werden.

Wenn eine Funktionszuweisungsanforderung zu einem potenziellen Funktionstrennungskonflikt führt, hat der Initiator die Option, die Funktionstrennungsbeschränkung aufzuheben und eine Begründung für eine Ausnahme von der Beschränkung abzugeben. In einigen Fällen kann ein Funktionstrennungskonflikt den Start eines Workflows verursachen. Der Workflow koordiniert die Genehmigungen, die erforderlich sind, damit die Funktionstrennungsausnahme in Kraft treten kann.

Der Workflow-Designer und der Systemadministrator sind für die Festlegung des Inhalts der Registerkarte Funktionen für Sie und andere Mitarbeiter der Organisation verantwortlich. Der Ablauf der Steuerung eines funktionsbasierten oder Funktionstrennungs-Workflows sowie das Erscheinungsbild von Formularen kann variieren, je nachdem, wie der Genehmigungsprozess für den Workflow im Designer für Identity Manager definiert wurde. Was Sie sehen und tun können, hängt zudem in der Regel von Ihren Aufgaben und Ihrer hierarchischen Position in Ihrer Organisation ab.

Funktionen und Vertretungsmodus

Der Vertretungsmodus funktioniert nur auf der Registerkarte Anforderungen und Genehmigungen und wird auf der Registerkarte Funktionen nicht unterstützt. Wenn Sie den Vertretungsmodus auf der Registerkarte Anforderungen und Genehmigungen starten und anschließend zur Registerkarte Funktionen wechseln, wird der Vertretungsmodus für beide Registerkarten deaktiviert.

14.1.1 Info zu Funktionen

Dieser Abschnitt liefert einen Überblick über Begriffe und Konzepte auf der Registerkarte Funktionen:

Funktionen und Funktionszuweisungen

Eine Funktion definiert eine Reihe von Berechtigungen, die in Beziehung zu einem oder mehreren Zielsystemen oder Anwendungen stehen. Die Registerkarte Funktionen ermöglicht es Benutzern, Funktionszuweisungen anzufordern, die Verknüpfungen zwischen einer Funktion und einem Benutzer, einer Gruppe oder einem Container darstellen. Die Registerkarte Funktionen ermöglicht es Ihnen ebenfalls, Funktionsbeziehungen zu definieren, die Verknüpfungen zwischen Funktionen in der Funktionshierarchie herstellen.

Sie können Funktionen direkt einem Benutzer zuweisen. In diesem Fall gewähren diese direkten Zuweisungen einem Benutzer expliziten Zugriff auf die der Funktion zugewiesenen Berechtigungen. Sie können auch indirekte Zuweisungen definieren, die es Benutzern ermöglichen, sich Funktionen durch Mitgliedschaft in einer Gruppe, einem Container oder einer abhängigen Funktion in der Funktionshierarchie anzueignen.

Wenn Sie eine Funktionszuweisung anfordern, haben Sie die Option, einen Tag des Inkrafttretens der Funktionszuweisung zu definieren. Dadurch wird der Zeitpunkt (Datum und Uhrzeit) angegeben, zu dem die Zuweisung in Kraft tritt. Wenn Sie dieses Feld leer lassen, tritt die Zuweisung augenblicklich in Kraft.

Sie können außerdem ein Funktionszuweisungsablaufdatum angeben, das den Zeitpunkt (Datum und Uhrzeit) definiert, zu dem die Zuweisung automatisch entfernt wird.

Wenn ein Benutzer eine Funktionszuweisung anfordert, verwaltet das Funktionssubsystem den Lebenszyklus der Funktionsanforderung. Wenn Sie sehen möchten, welche Aktionen für die Anforderung von Benutzern oder vom Funktionssubsystem unternommen wurden, können Sie den Status der Anforderung auf der Seite „Anforderungsstatus anzeigen“ einsehen.

Funktionskatalog und Funktionshierarchie

Bevor Benutzer Funktionen zuweisen können, müssen diese Funktionen im Funktionskatalog definiert werden. Der Funktionskatalog ist das Ablage-Repository für alle Funktionsdefinitionen und unterstützende Daten, die vom Funktionssubsystem benötigt werden. Zum Einrichten des Funktionskatalogs definiert ein Funktionsmoduladministrator (oder Funktionsmanager) die Funktionen und die Funktionshierarchie.

Die Funktionshierarchie erstellt Beziehungen zwischen Funktionen im Katalog. Durch Definieren von Funktionsbeziehungen können Sie die Aufgabe, Berechtigungen durch Funktionszuweisungen zu erteilen, vereinfachen. Beispiel: Anstatt 50 separate medizinische Funktionen jedesmal zuzuweisen, wenn ein Arzt in Ihre Organisation eintritt, können Sie eine „Arzt“-Funktion definieren und eine Funktionsbeziehung zwischen der „Arzt“-Funktion und jeder der medizinischen Funktionen angeben. Indem Sie Benutzer der „Arzt“-Funktion zuweisen, können Sie diesen Benutzern die Berechtigungen geben, die für jede der verbundenen medizinischen Funktionen definiert ist.

Die Funktionshierarchie unterstützt drei Ebenen. Funktionen, die auf höchster Ebene definiert wurden (Geschäftsfunktionen), definieren Operationen, die innerhalb der Organisation von geschäftlicher Bedeutung sind. Funktionen auf mittlerer Ebene (IT-Funktionen) unterstützen Technologiefunktionen. Funktionen, die auf der untersten Ebene der Hierarchie definiert wurden (Berechtigungsfunktionen), definieren Rechte auf niedriger Ebene. Das folgende Beispiel zeigt eine Funktionshierarchie mit drei Ebenen für eine medizinische Organisation. Die höchste Ebene der Hierarchie ist auf der linken und die niedrigste auf der rechten Seite dargestellt:

Abbildung 14-1 Beispiel einer Funktionshierarchie

Eine Funktion auf höherer Ebene schließt automatisch die Rechte der Funktionen auf niedrigerer Ebene, die sie enthält, mit ein. Zum Beispiel schließt eine Geschäftsfunktion automatisch die Rechte der IT-Funktionen, die sie enthält, mit ein. Auf ähnliche Weise schließt eine IT-Funktion automatisch die Rechte der Berechtigungsfunktionen, die sie enthält, mit ein.

Zwischen gleichrangigen Funktionen innerhalb der Hierarchie sind keine Funktionsbeziehungen erlaubt. Darüber hinaus können Funktionen auf niedrigerer Ebene keine Funktionen auf höherer Ebene enthalten.

Wenn Sie eine Funktion definieren, können Sie optional einen oder mehrere Eigentümer für diese Funktion bestimmen. Ein Funktionseigentümer ist ein Benutzer, der als der Eigentümer der Funktionsdefinition bestimmt wurde. Wenn Sie Berichte für den Funktionskatalog generieren, können Sie diese Berichte basierend auf dem Funktionseigentümer filtern. Der Funktionseigentümer besitzt nicht automatisch die Autorisierung, Änderungen an einer Funktionsdefinition vorzunehmen. In einigen Fällen muss der Eigentümer einen Funktionsadministrator bitten, administrative Aktionen für die Funktion durchzuführen.

Wenn Sie eine Funktion definieren, können Sie sie optional mit einer oder mehreren Funktionskategorien verknüpfen. Eine Funktionskategorie ermöglicht es Ihnen, Funktionen zum Zweck der Organisation des Funktionssystems zu kategorisieren. Sobald eine Funktion mit einer Kategorie verknüpft ist, können Sie diese Kategorie als Filter beim Durchsuchen des Funktionskatalogs verwenden.

Wenn eine Funktionszuweisungsanforderung eine Genehmigung erfordert, enthält die Funktionsdefinition Details zum Workflow-Prozess, mit dem Genehmigungen koordiniert werden, sowie die Liste der Genehmiger. Die Genehmiger sind die Personen, die eine Funktionszuweisungsanforderung genehmigen oder verweigern können.

Funktionstrennung

Eine Schlüsselfunktion des Funktionssubsystems ist die Fähigkeit, Funktionstrennungsbeschränkungen zu definieren. Eine Funktionstrennungbeschränkung ist eine Regel, die zwei Funktionen definiert, die als im Konflikt befindlich angesehen werden. Die Sicherheitsbeauftragten erstellen die Funktionstrennungsbeschränkungen für eine Organisation. Durch das Definieren von Funktionstrennungsbeschränkungen, können diese Beauftragten Benutzer davor bewahren, widersprüchlichen Funktionen zugewiesen zu werden, oder einen Prüfungs-Workflow einleiten, ob eine Situation vorliegt, in der die Verletzung einer Beschränkung zulässig ist. In einer Funktionstrennungsbeschränkung müssen sich die widersprüchlichen Funktionen auf derselben Ebene in der Funktionshierarchie befinden.

Einige Funktionstrennungsbeschränkungen können ohne Genehmigung aufgehoben werden, wohingegen andere eine Genehmigung erfordern. Konflikte, die ohne Genehmigung erlaubt sind, werden als Funktionstrennungsverletzungen bezeichnet. Konflikte, die genehmigt wurden, werden als Genehmigte Funktionstrennungsausnahmen bezeichnet. Das Funktionssubsystem benötigt keine Genehmigung für Funktionstrennungsverletzungen, die aus indirekten Zuweisungen resultieren, z. B. Mitgliedschaft in einer Gruppe oder einem Container sowie Funktionsbeziehungen.

Wenn ein Funktionstrennungkonflikt eine Genehmigung erfordert, enthält die Beschränkungsdefinition Details zum Workflow-Prozess, mit dem Genehmigungen koordiniert werden, sowie die Liste der Genehmiger. Genehmiger sind die Personen, die eine Funktionstrennungsausnahme genehmigen oder verweigern können: Eine Standardliste wird als Teil der Funktionssubsystemkonfiguration definiert. Diese Liste kann jedoch in der Definition einer Funktionstrennungsbeschränkung aufgehoben werden.

Funktionsberichterstattung und Revision

Das Funktionssubsystem bietet vielfältige Berichtmöglichkeiten, mit denen Auditoren den Funktionskatalog sowie den aktuellen Zustand von Funktionszuweisungen und Funktionstrennungsbeschränkungen, Verletzungen und Ausnahmen analysieren können. Die Funktionsberichterstattung ermöglicht es Funktions-Auditoren und Funktionsmoduladministratoren, Berichte der folgenden Typen im PDF-Format anzuzeigen:

  • Funktionslistenbericht

  • Funktionsdetailbericht

  • Funktionszuweisungsbericht

  • Bericht zu Funktionstrennungsbeschränkungen

  • Bericht zu Verletzungen und Ausnahmen bei der Funktionstrennung

  • Benutzerfunktionsbericht

  • Benutzerberechtigungsbericht

Über die Bereitstellung von Informationen über die Berichterstattungsfunktion hinaus kann das Funktionssubsystem konfiguriert werden, um Ereignisse in Novell® Audit zu protokollieren.

Funktionssicherheit

Das Funktionssubsystem verwendet mehrere Systemfunktionen, um den Zugriff auf Funktionen in der Registerkarte Funktionen zu sichern. Jede Menüaktion auf der Registerkarte Funktionen wird einer oder mehreren Systemfunktionen zugeordnet. Wenn ein Benutzer kein Mitglied einer der mit einer Aktion verknüpften Funktionen ist, wird der entsprechende Menüeintrag nicht auf der Registerkarte Funktionen angezeigt.

Die Systemfunktionen sind administrative Funktionen, die automatisch vom System bei der Installation zum Zweck der delegierten Administration definiert wurden. Dazu gehört Folgendes:

  • Funktionsmoduladministrator

  • Funktionsmanager

  • Funktions-Auditor

  • Sicherheitsbeauftragter

Die Systemfunktionen werden nachfolgend detailliert beschrieben:

Tabelle 14-1 Systemfunktionen

Funktion

Beschreibung

Funktionsmoduladministrator

Eine Systemfunktion, mit der Mitglieder alle Funktionen erstellen, entfernen oder modifizieren und Benutzern, Gruppen oder Containern Funktionen zuweisen oder entziehen können. Außerdem können die Funktionsmitglieder jeden Bericht für einen beliebigen Benutzer ausführen. Eine Person in dieser Funktion kann die folgenden Funktionen in der Benutzeranwendung unbegrenzt ausführen:

  • Funktionen erstellen, entfernen und ändern.

  • Funktionsbeziehungen für Funktionen ändern.

  • Zuweisung von Benutzern, Gruppen oder Containern zu Funktionen anfordern.

  • Funktionstrennungsbeschränkungen erstellen, entfernen und ändern.

  • Den Funktionskatalog durchsuchen.

  • Das Funktionssubsystem konfigurieren.

  • Den Status aller Anforderungen einsehen.

  • Funktionszuweisungsanforderungen zurückziehen.

  • Beliebige und alle Berichte ausführen.

Funktionsmanager

Eine Systemfunktion, die es Mitgliedern ermöglicht, Funktionen und Funktionsbeziehungen zu ändern sowie Funktionszuweisungen für Benutzer zu erteilen und zu entziehen. Eine Person in dieser Funktion kann die im Folgenden genannten Aktionen in der Benutzeranwendung ausführen. Der Umfang, in dem die genannten Aktionen ausgeführt werden können, ist durch Rechte zum Durchsuchen von Verzeichnissen nach Funktionsobjekten beschränkt:

  • Neue Funktionen erstellen und vorhandene Funktionen modifizieren, für die der Benutzer Durchsuchen-Rechte besitzt.

  • Funktionsbeziehungen für Funktionen modifizieren, für die der Benutzer Durchsuchen-Rechte besitzt.

  • Zuweisung von Benutzern, Gruppen oder Containern zu Funktionen anfordern, für die der Benutzer Durchsuchen-Rechte besitzt.

  • Funktionskatalog durchsuchen (eingeschränkt durch Durchsuchen-Rechte).

  • Funktionszuweisungsanforderungen für Benutzer, Gruppen und Container durchsuchen (eingeschränkt durch Rechte zum Durchsuchen von Verzeichnissen nach Funktions-, Benutzer-, Gruppen- und Containerobjekten).

  • Funktionszuweisungsanforderungen für Benutzer, Gruppen und Container zurückziehen (eingeschränkt durch Rechte zum Durchsuchen von Verzeichnissen nach Funktions-, Benutzer-, Gruppen- und Containerobjekten).

Funktions-Auditor

Eine Systemfunktion, die es Mitgliedern ermöglicht, beliebige Berichte auszuführen, für die sie Rechte zum Durchsuchen von Verzeichnissen haben.

Sicherheitsbeauftragter

Eine Systemfunktion, die es Mitgliedern ermöglicht, Funktionstrennungsbeschränkungen zu erstellen, entfernen oder zu ändern. Der Sicherheitsbeauftragte muss über Durchsuchen-Rechte für die Funktionstrennungsbeschränkungen verfügen.
Authentifzierter Benutzer

Zusätzlich zur Unterstützung der Systemfunktionen erlaubt das Funktionssubsystem auch Zugriff durch authentifizierte Benutzer. Ein authentifizierter Benutzer ist ein bei der Benutzeranwendung angemeldeter Benutzer, der keine besonderen Rechte durch Mitgliedschaft in einer Systemfunktion besitzt. Ein typischer authentifizierter Benutzer kann jede der folgenden Funktionen durchführen:

  • Alle Funktionen anzeigen, die dem Benutzer zugewiesen wurden.

  • Zuweisung (nur für ihn selbst) von Funktionen anfordern, für die er Durchsuchen-Rechte besitzt.

  • Anforderungsstatus für die Anforderungen anzeigen, für die er ein Anforderer oder Empfänger ist.

  • Funktionszuweisungsanforderungen für die Anforderungen zurückziehen, für die er sowohl Anforderer als auch Empfänger ist.

Funktionsservice-Treiber

Das Funktionssubsystem verwendet den Funktionsservice-Treiber zur Verwaltung der Backend-Verarbeitung von Funktionen. Zum Beispiel verwaltet es alle Funktionszuweisungen, startet Workflows für Funktionszuweisungsanforderungen und Funktionstrennungskonflikte, die eine Genehmigung erfordern, und verwaltet indirekte Funktionszuweisungen entsprechend der Gruppen- und Container-Mitgliedschaft sowie der Mitgliedschaft in verbundenen Funktionen. Der Treiber erteilt und entzieht Berechtigungen für Benutzer basierend auf ihren Funktionsmitgliedschaften und führt Bereinigungsprozeduren für abgeschlossene Anforderungen durch.

Nähere Informationen zum Funktionsservice-Treiber finden Sie im Identity Manager-Benutzeranwendung: Administrationshandbuch.