Autoprovisioning

Ziel des Autoprovisioning ist, dass eine im Enterprise-Kontext definierte Zielgruppe von Benutzer im Voraus erstellt und mit Basis Rechten (Fachapplikations- und Geschäftsrollen) versehen werden.

Somit erfolgt eine vollautomatisierte Berechtigungsvergabe für eine oder mehrere Applikationen und die Benutzer können sich ohne weiteren administrativen Aufwand anmelden und arbeiten. Die Stammattribute inkl. Status (aktiv/inaktiv/archiviert) der Benutzer im Access Account, werden beim Autoprovisioning automatisch mit dem Root Account synchronisiert, was den Administrations- und Verwaltungsaufwand im laufenden Betrieb erheblich reduziert.

Stammattribute der Benutzer
×

Die folgenden Stammattribute der Benutzer werden automatisch vom Root Account zum Access Account synchronisiert:
- Name (name)
- Vorname (firstName)
- E-Mail (email)
- Anschriftzeile1 (adressLine1)
- Anschriftzeile2 (adressLine2)
- Status (status)
- Quellsystem (source system)

Bemerkung
Das Autoprovisioning ist im eGovernment-Kontext mit Bürgerinnen, Bürgern und Wirtschaftsvertretern nicht anwendbar.

Autoprovisioning
Autoprovisioning

Auswirkungen von Autoprovisioning auf den Access Account

  • Beim Autoprovisioning werden die Benutzer im Access Account mit einem Basis Default Profil, welches die entsprechenden Geschäfts- und Applikationsrollen enthält, vorkonfiguriert und in der entsprechenden Unit erstellt.
  • Die Benutzerstammdaten im Access Account synchronisiert sich automatisch mit dem Root Account.
  • Neueintritte von Benutzer im laufenden Betrieb werden auf Basis der definierten Provisionierungsregel ebenfalls automatisch provisioniert, so dass der zuständige delegierte Administrator, bei genügender Rechtvergabe, nichts mehr unternehmen muss. Die automatische Synchronisation der Stammdaten vom Root Account zum Access Account wird auch hier sichergestellt.
  • Mit einem klar definierten Unit Konzept (OU-Struktur), besteht die Möglichkeit mehrere Autoprovisioning Instanzen in einem Access Client zu konfigurieren, welche unterschiedliche Benutzer enthalten, die dann in unterschiedlichen Units erfasst werden. Das Risiko einer doppelten Benutzer Erfassung besteht dabei und kann zu Problemen führen. Wenn Sie also beabsichtigen mehr als eine Autoprovisioning Instanz zu konfigurieren, nehmen Sie bitte unbedingt Kontakt mit dem eIAM Consulting auf.

Wichtig, zu beachten!
Benutzer welche über eine API (RDM/SOAP) Schnittstelle oder über das Delegierte Management hinzugefügt werden, dürfen nicht in der gleichen Unit wie Autoprovisioning erstellt werden!

Anwendungsbeispiele

  • Wenn Sie alle Mitarbeiter eines Amtes, wie auch die laufenden Mitarbeiter Neueintritte, automatisch mit Basis Rechten (Rollen) vorprovisionieren wollen.
  • Wenn Sie die Rechtezuweisung für eine spezifische Benutzergruppe automatische vorprovisionieren möchten.

    • Filterkriterien spez. Benutzergruppen
    ×

    Betreffend der möglichen Filterkriterien ist das System sehr flexibel, nehmen Sie dafür bitte Kontakt mit dem eIAM Consulting auf.

Filtermöglichkeiten

Folgende Filter können in der aktuellen Version verwendet werden, damit folgende Zielgruppen von automatisch provisionierten Benutzern erstellt werden. 

Attribute auf Verbunds-identiät                              Beschreibung
AdminOrganizationalUnitName Nur bei Verbundidentiäten, bei welchen das AdminOrganizationalUnitName Attribute für den definierten Regex übereinstimmt. z.B "Externe Auth und Identity"
AdminOUNamePath Nur bei Verbundidentiäten, bei welchen das AdminOUNamePathAttribute für den definierten Regex übereinstimmt. z.B "Bundesrat/Eidgenössisches Finanzdepartement/Bundesamt für Informatik und Telekom./Direktion/Platform Services/Chapter/Auth and Identity/Externe Auth und Identity"
AdminOrganizationNameAbbr Nur bei Verbundsidentiäten, bei welchen das AdminOUNamePathAttribute für den definierten Regex übereinstimmt. z.B "BIT"
EmployeeType Nur bei Verbundidentiäten, bei welchen das EmployeeType für den definierten Regex übereinstimmt. z.B "External"

Die oben aufgeführten Attribute sind auf der Verbundsidentität aufgelistet. Sind bei Integrationen weitere spezielle Filter notwendig, können diese bei Bedarf und Sinnhaftigkeit in zukünftigen Versionen integriert werden. 

Übersicht Identitäten in eIAM, Unit, Profile und Rollen

Identitäten in eIAM & Units, Profile und Rollen
Identitäten in eIAM & Units, Profile und Rollen

Mehrwert des Autoprovisioning

  1. Automatisches Massen-Onboarding mit Rollenzuweisung ohne Benutzerinteraktion (Benutzer muss kein Onboarding Code einlösen).
  2. Die Synchronisation zwischen Root Account und Access Account, für die so vorprovisionierten Benutzer inkl. der Neueintritte, ist sichergestellt.
  3. Die Benutzer Konten im Access Client stehen den Administratoren ohne zusätzliche Onboarding Tätigkeiten zur Verfügung.
  4. Benutzer Aus-/Eintritte im laufenden Betrieb werden automatisch archiviert, respektive hinzugefügt und der Status wird aktualisiert.
  5. Optimierter Administrations- und Betriebsaufwand.

Bestellung Autoprovisioning

Für Applikationen, die bereits mit eIAM arbeiten und das Autoprovisioning nachträglich verwenden wollen, ist dies per Remedy in Auftrag zu geben. Für Neuintegrationen wird das delegierte Management im eIAM-Dossiers bestellt.

Kostenfolge für Kunden

Das Autoprovisioning hat keine Kostenfolge für den Kunden, da es in Zukunft einen zentralen Bestandteil einer Integration ausmacht.