GKA berechtigt BVA

Sobald ein Benutzer den Access Request Prozess „Zugriff beantragen“ erfolgreich beendet hat und Sie für die Zugriffsverwaltung dieser Fachapplikation zuständig sind, erhalten Sie in der IDM Rolle als GKA nachfolgendes Mail.

1 In der Mailbox (definiert pro Fachapplikation) befindet sich das von eIAM generierte
E-Mail mit den Antragsinformationen des Benutzers. Kopieren sie die Benutzer-ID (gelb markiertes Beispiel) und klicken Sie den im E-Mail angegeben Link:


Hinweis: Sie können auch Benutzer berechtigen, welche noch keinen Zugriff beantragt haben. In diesem Fall starten Sie direkt mit Schritt 2.
2 Die Benutzer-ID mit dem entsprechenden Mandant sollte bei einem per Mail gestellten Zugriffsantrag bereits eingestellt sein, um die Benutzer Verwaltungsseite zu erhalten drücken Sie auf Suchen.
Benutzer ohne expliziten Zugriffantrag per Email können mittels Eingabe des Benutzer-ID oder des Namens (* als Wildcard am Anfang und am Ende möglich) gesucht und berechtigt werden.
3 Klicken Sie auf die Benutzer-ID
4 Die nun dargestellte Benutzer Verwaltungsseite besteht aus drei Blöcken:
- Daten zur Identität des Antragstellers mit Kontakt Informationen
- Informationen zu den Authentifizierungsdaten des Benutzers
- Informationen zum Benutzerprofil, welches dessen Rollen enthält.

Klicken Sie dann auf das Benutzerprofil zuunterst auf der Seite

5 Nun gelangen Sie zum Berechtigungs-Cockpit für die Rollen GKA und BVA.


Diese Ansicht besteht aus drei Teilen
1. IDM-Rollen – dient den GKD's und GKA's für die IDM Rollen Verwaltung
2. Geschäftsrollen – dient der Geschäftsrollen Verwaltung (zur Zeit noch nicht verwendet)
3. Rollen – dient den BVA's zur Fachapplikationsrollen verwalten

6 In der IDM Rolle als GKA
Die GKA spezifische Berechtigungsaufgaben erfolgen über den Bereich der IDM-Rollen und die Benutzerprofilverwaltung. Dabei sind die Rollen «BVA» und «AppOwner» identisch. Der Unterschied ist, dass der BVA keine Benutzer archivieren und der AppOwner keine Reports generieren kann.

Ablauf:
1. Zuweisung der IDM-Rolle BVA- oder AppOwner

2. Einschränkung der BVA- oder AppOwner-Rolle auf den Mandanten
Im eIAM-IDM wird unter einem Mandanten im Grossen und Ganzen, das gesamte Amt oder eine Organisation verstanden, für welche(s) der GKA und der BVA arbeiten.
Klicken Sie auf „Mandanten hinzufügen“. Dadurch erscheint die Mandantensuchmaske. Die Eingabe eines Teils oder des gesamten Mandantennamens liefert die zur Eingabe passenden Mandanten. Mit der Auswahl des Mandantennamens wird dem Beantragenden die Sicht der Daten (User, Applikationen, u.a.) auf die des Mandanten eingeschränkt.


3. Einschränkung der BVA- oder AppOwner-Rolle auf die Unit Access-Management
In der jetzigen Version des eIAM-AccessManagements ist eine triviale Organisation umgesetzt. Alle zu berechtigenden Personen werden in einer Abteilung namens "AccessRequest" geführt (Usere Profil Ablage beim Ersten eIAM User AccessRequest). Es ist Aufgabe des GKA den Zugriff auf diese User dem BVA zu genehmigen. Daher muss der GKA die Abteilung "AccessRequest" der Rolle BVA/AppOwner hinzufügen. Ansonsten werden die zu berechtigenden User für den BVA nicht sichtbar.


4. Zuweisung der Applikation(en) zur BVA- oder AppOwner-Rolle
In diesem Schritt erteilt der GKA dem BVA/AppOwner eine oder mehrere Applikationen. Dazu klickt der GKA den Button Applikationen hinzufügen-
Es gibt mehrere Möglichkeiten der Suche nach einer oder mehreren Applikationen:
Keine Eingabe vor dem Betätigen des Suchen-Buttons; es werden alle dem Mandanten zugeordneten Applikationen aufgelistet. Eingabe eines Teils des Namens (Beginn oder Abschluss mit dem Wildcard *); es werden diejenigen dem Mandanten zugeordneten Applikationen aufgelistet, welche den angegebenen Teil des Namens beinhalten. Durch Anklicken der gewünschten Applikation wird diese dem Benutzer hinzugefügt. Wenn Sie den Benutzer für alle Applikationen als BVA berechtigen wollen, dann genügt das Aktivieren der Checkbox Berechtigt für alle Applikationen.


5. Optional: GKA und BVA mit "SelfAdmin" Rolle (=>Doppelrollen: GKA + BVA oder BVA + Fachapplikationsrolle)
In Fällen, in denen eine Person eines Mandanten, z.B. die Rolle des BVA für Sharepoint innehat und gleichzeitig auch selbst Sharepoint verwenden soll, kann sich dieser BVA nicht selbst autorisieren, da das IDM System Vorkehrungen trifft, die Auswahl seiner Person aus Sicherheitsgründen dem Suchraum auszublenden (Chinese-Wall-Prinzip). Der GKA kann dieses Prinzip explizit ausser Kraft setzen, indem er dem BVA die zusätzliche IDM-Rolle SelfAdmin zuordnet. Das Alternativ-Vorgehen dazu wäre die Ernennung eines zweiten BVA, der dem ersten die Fachapplikationsrechte erteilt.

7 Informieren Sie sodann den neuen Benutzer, dass die Berechtigungen erteilt sind und der Zugriff auf die Fachapplikation geprüft werden soll.

Entzug von IDM-Rollen und Reports generieren


Entzug von IDM-Rollen
Den Benutzer suchen und bei der IDM-Rollen auf den Stift klicken. Im nächsten Fenster auf
1. Rollenzuweisung löschen klicken und dann
2. mit Löschen bestätigen.
Reports generieren
Da stehen Ihnen verschiedene Reports zur Verfügung.
Zur Rezertifizierung der Rollen wählen Sie «Benutzer pro Applikation» und klicken auf «Report generieren»
Öffnen Sie die Exceltabelle. Sie sehen alle Benutzer mit Rollen in ihrem Amt. Sie können sich über Daten filtern nur die Benutzer einer einzelnen Anwendung anzeigen lassen. In der Spalte Letzter Login sehen Sie wann der Benutzer die Applikation zuletzt genutzt hat.