eIAM Admin Portal
Einstieg ins eIAM Admin Portal
| Instanz des eIAM-Portals | Produktion PROD | Empfang ABN | Referenz REF | Link |
-
- eIAM Portal Einstiegspanel
-
- eIAM Portal Einstiegspanel / Delegiertes Management
Untergeordnete Abteilung/Unit ändern (Aktionen)
-
- Unit wählen bzw. markieren und anschliessend "Aktion" "Ändern" selektieren
Unit ändern
Anzeigename, Abkürzung (4sprachig), Kommentare, Änderungsnotizen
Custom Attributes SAP-BP-ID, Strasse, GLN oder Sub-Unit hinzufügen
Benutzer mit Berechtigung ‘Del. Management’ erfassen
-
- Via User Management -> Delegated Management zu ‘Unit Auswahl’
-
- Gewünschte Abteilung/Unit markieren & ‘Weiter’ zu ‘Benutzerauswahl’
Bemerkung
Falls für den entsprechenden Access Mandant in den Portal Properties "Strict-Onboarding" konfiguriert ist, muss die "Mobil-Nummer" zwingend erfasst werden (Plichtfeld). Dies gilt auch beim Bulk-Onboarding von neuen Benutzer (siehe Abschnitt unten Bulk-Onboarding Funktionalität).
-
- Gewünschten Benutzer markieren & ‘Weiter’ zu ‘Berechtigungen managen’
Unterschied der beiden Register erklären …(eigene Berechtigungen / zu delegierende Rollen)
Register ‘Berechtigungen erteilen’
In diesem Register kann der Administrator dem Benutzer Einzel-Rollen oder Sammel-Rollen der jeweiligen Applikation zuweisen.
-
- Zudem können an dieser Stelle Rollen mit Attributen zugewiesen werden.
Spezialfall Rollen mit Attributen erklären:
Register ‘Erteilen von Berechtigungen für delegierte Administration’
In diesem Register kann der Administrator dem Benutzer in der Rolle als (zukünftiger) Delegierter Administrator verschiedene Einstellungen aktivieren. Aus technischer Sicht ist diese Bearbeitung mit der ‘IDM-Rolle hinzufügen’ in IDM vergleichbar.
- Checkbox «Delegiertes Management von (Sub-)Units»
"Delegated Administration of (Sub-)Units":
Wenn aktiviert, wird dem Benutzer die IDM Rolle DelegatedAdmin_SubUnit zugewiesen - Checkbox «Delegiertes Management von Benutzern»
"Delegated Administration of Users":
Wenn aktiviert, wird dem Benutzer die IDM Rolle DelegatedAdmin_User zugewiesen - Checkbox «Delegiertes Management von Berechtigungen»
"Delegated Administration of Permissions":
Wenn aktiviert, wird dem Benutzer die IDM Rolle DelegatedAdmin_Permissions zugewiesen. Mit aktivierter Checkbox müssen anschliessend die Rollen/Geschäftsrollen hinzugefügt werden, welche der Del. Administrator weiteren Benutzern zuteilen darf
- Checkbox «inkl. Vertretung (weitere Delegation der Management Rechte an Stellvertreter möglich)» "incl. Substitution": Wenn aktiviert, wird dem Benutzer die Bearbeitung des Registers ‘Grant Delegated Management Permissions’ ermöglicht
Prüfung vor Versand:
-
- Detaillierte Information anzeigen über Funktionsknopf ‘Mehr anzeigen’
-
- Erteilte Berechtigungen
-
- Erteilte delegierte Management Rechte
-
- Details zu den delegierten Management Rechten
Onboarding link senden oder Benachrichtigungs E-Mail senden
Bemerkung
Funktionsknopf ‘Benachrichtigungs E-Mail senden / Onboarding E-Mail senden’ wird nur aktiviert, wenn Text im Feld Begründung für Berechtigung (Nachvollziehbarkeit) erfasst wird.
Abschlussmeldung:
Reaset Onboarding
Das Zurücksetzen des Onboardings, für bereits onboardete Benutzer, kann im Admin-Portal über die nachfolgende Option erfolgen.-
- Feature: reset onboarding
Beispiel: Onboardingmail an Benutzer
Beispiel: Benachrichtigungsmail bei Änderung von Berechtigungen
Manueller Weg Onboarding (Drucken)
Beschreiben in Prosa, warum dies erforderlich sein kann….
Option: Onboarding Links speichern in …
Option: Onboarding Mail senden
Bereits beschrieben unter ‘Onboarding Link senden’Bulk-Onboarding Funktionalität
Mit dieser Erweiterung ist es nun möglich dem Benutzer delegAdmin-Rollen direkt beim Onboarding zuzuweisen. Die nachfolgenden delegAdmin-Rollen können pro Benutzer in der erweiterten .csv Datei angegeben werden.
Unterstütze IDM DelegAdmin-Rollen
- DelegatedManager_User
- DelegatedManager_Subunit
- DelegatedManager_Permission
- DelegatedManager_DelegMgmt_Permission
CVS-Datei
| Name | Pflichtfeld | Beispiel | Erläuterung |
|---|---|---|---|
| firstName | Ja | Hans | Vorname |
| lastName | Ja | Mustermann | Name |
| Ja | hmustermann@test.com | Adresse e-mail | |
| language | Ja | de | Sparche |
| mobileNumber | nur bei Strict-Onboarding | 0041791234567 | Telefonnummer |
| addressLine1 | nur bei Onboarding per Brief | Engehalde 22 | Strasse |
| addressLine2 | nur bei Onboarding per Brief | Informatik AG | Adresse Zusatzangabe |
| postalCode | nur bei Onboarding per Brief | 3005 | PLZ |
| city | nur bei Onboarding per Brief | Bern | Ortschaft |
| countryCode | nur bei Onboarding per Brief | ch | Land |
| additionalRoles | Nein | DelegatedManager_User DelegatedManager_Subunit DelegatedManager_Permission DelegatedManager_DelegMgmt _Permission Standard: keine | Eine oder mehrere der oben erwähnten unterstützten IDM-Rollen |
| unitExtId | Nein | 1234 Standard: die Einheit, die bei Beginn des Bulk-Onboarding ausgewählt wurde | ExtId der Unit, in die der Benutzer aufgenommen werden soll. Muss entweder die im AdminPortal ausgewählte Unit oder eine untergeordnete Child-Unit dieser Unit sein |
| profilename | Nein | TestProfil | Wenn der Profilname in der CSV-Datei definiert ist (also der Wert in der Spalte für eine Zeile nicht leer ist), sollte er Vorrang vor der E-Mail-Adresse haben, die aus der OnboardingDataSotrage-Funktion stammen könnte, wenn sie für den Kunden aktiviert ist. Wenn die Funktion onboardingDataSotrage aktiviert ist und in der Spalte profileName für die betreffende Zeile nichts steht, sollte der Profilname weiterhin die E-Mail-Adresse sein. |
Bedingungen für eine erfolgreiche Durchführung des erweiterten Bulk-Onboarding
- nur die oben erwähnten unterstützten IDM-Rollen sind vorhanden
- die IDM-Rollen sind richtig formatiert (korrektes Trennzeichen)
- der ausführende Administrator hat die erforderlichen Rechte, um alle angeforderten IDM-Rollen zuzuweisen
Benutzer mit Berechtigung ‘Del. Management’ ändern (Aktionen)
Aktionen’, ‘Ändern’
- Benutzerdaten bearbeiten
Anzeigename, Abkürzung (4sprachig), Kommentare, Änderungsnotizen
Custom Attributes SAP-BP-ID, Strasse, GLN
Pflichtfelder: Vorname, Nachname und eMail - Benutzer löschen/archivieren
Benutzer und Profil wird deaktiviert.
Benutzer wird zum Löschen nach 95 Tagen vorgemerkt (ArchiveDate)
Email Adresse wird entfernt und mit ExtID von Benutzer ergänzt.
Credentials werden entfernt.
Profilinformationen bleiben bestehen - Benutzer deaktivieren
Keine Sicherheitsfrage
Benutzer und Profil wird deaktiviert (und bleibt so….) - Neuen Onboarding Link senden
Profile bearbeiten
Neues Profil hinzufügen
Trennung von unterschiedlichen Aufgaben (bspw. Admin- und Benutzertätigkeiten)
Profile bearbeiten
- Bezeichnung bearbeiten
- Profil archivieren
- Deaktivieren
Status von Profil wird im IDM deaktiviert.
Bei Aufgaben/Stellenwechsel temp. deaktivieren.
Gleiche Funktionalitäten wie im IDM bereitstellen…
Onboarding
Ablauf beschreibenOnboarding Status
| Offen | Dieser Benutzer ist bereit, Berechtigungen zu erteilen. | Bereit | Dieser Benutzer hat mindestens eine Rolle und ist daher bereit für das Onboarding. | Laufend | Ein erfolgreiches Onboarding wurde für einen Benutzer erstellt. Weder das Profil noch das Konto haben den Status "Onboarding", dies ist lediglich der Status des Onboardings. Ein Onboarding-Link ist 30 Tage lang gültig. | Überfällig | Ein Benutzer hat 30 Tage Zeit, den Onboarding-Prozess abzuschließen. Nach Ablauf dieser Frist ist der Onboarding-Status des Benutzers "Onboarding überfällig". -> Benutzer informieren | Abgelaufen | Der Onboarding-Code ist abgelaufen (gültig für 30 Tage) -> Benutzeradministratoren müssen einen neuen Onboarding-Code senden. | Abgeschlossen | Ein Benutzer hat das Onboarding mit dem Onboarding-Link erfolgreich durchgeführt. |
Mit diesem Schritt werden die zuvor im eIAM Portal erfassten Daten (Berechtigungen/Rollen) mit dem CH-LOGIN Benutzerkonto verknüpft.
