GKA berechtigt BVG

Sobald ein Benutzer den Access Request Prozess „Zugriff beantragen“ erfolgreich beendet hat und Sie für die Zugriffsverwaltung der Geschäftsrollen in Ihrem Amt zuständig sind, erhalten Sie in der IDM Rolle als GKA nachfolgendes Mail.

1 In der Mailbox (definiert pro Amt) befindet sich das von eIAM generierte E-Mail mit den Antragsinformationen des Benutzers. Kopieren sie die Benutzer-ID (gelb markiertes Beispiel) und klicken Sie den im E-Mail angegeben Link:


Hinweis: Sie können auch Benutzer berechtigen, welche noch keinen Zugriff beantragt haben. In diesem Fall starten Sie direkt mit Schritt 2.
2 Die Benutzer-ID mit dem entsprechenden Mandant sollte bei einem per Mail gestellten Zugriffsantrag bereits eingestellt sein, um die Benutzer Verwaltungsseite zu erhalten drücken Sie auf Suchen.
Benutzer ohne expliziten Zugriffantrag per Email können mittels Eingabe des Benutzer-ID oder des Namens (* als Wildcard am Anfang und am Ende möglich) gesucht und berechtigt werden.
3 Klicken Sie auf die Benutzer-ID
4 Die nun dargestellte Benutzer Verwaltungsseite besteht aus drei Blöcken:
- Daten zur Identität des Antragstellers mit Kontakt Informationen
- Informationen zu den Authentisierungsdaten des Benutzers
- Informationen zum Benutzerprofil, welches dessen Rollen enthält.

Klicken Sie dann auf das Benutzerprofil zuunterst auf der Seite

5 Nun gelangen Sie zum Berechtigungs-Cockpit für die Rollen GKA, BVA und BVG


Diese Ansicht besteht aus drei Teilen
1. IDM-Rollen – dient den GKD's und GKA's für die IDM Rollen Verwaltung
2. Geschäftsrollen – dient den BVG's zur Geschäftsrollen Verwaltung
3. Rollen – dient den BVA's zur Fachapplikationsrollen verwalten

6 In der IDM Rolle als GKA
Die GKA spezifische Berechtigungsaufgaben erfolgen über den Bereich der IDM-Rollen und die Benutzerprofilverwaltung.

Ablauf:
1. Zuweisung der IDM-Rolle BVG

2. Einschränkung der BVG-Rolle auf den Mandanten
Im eIAM-IDM wird unter einem Mandanten im Grossen und Ganzen, das gesamte Amt oder eine Organisation verstanden, für welche(s) der GKA und der BVG arbeiten.
Klicken Sie auf „Mandanten hinzufügen“. Dadurch erscheint die Mandantensuchmaske. Die Eingabe eines Teils oder des gesamten Mandantennamens liefert die zur Eingabe passenden Mandanten. Mit der Auswahl des Mandantennamens wird dem Beantragenden die Sicht der Daten (User, Applikationen, u.a.) auf die des Mandanten eingeschränkt.


3. Einschränkung der BVG-Rolle auf die Unit Access-Management
In der jetzigen Version des eIAM-AccessManagements ist eine triviale Organisation umgesetzt. Alle zu berechtigenden Personen werden in einer Abteilung namens "AccessRequest" geführt (Usere Profil Ablage beim Ersten eIAM User AccessRequest). Es ist Aufgabe des GKA den Zugriff auf diese User dem BVG zu genehmigen. Daher muss der GKA die Abteilung "AccessRequest" der Rolle BVG hinzufügen. Ansonsten werden die zu berechtigenden User für den BVG nicht sichtbar.


4. Zuweisung der Geschäftsrollen zur BVG-Rolle
In diesem Schritt erteilt der GKA dem BVG alle oder gezielte Geschäftsrollen. Dazu klickt der GKA den Button Geschäftsrollen hinzufügen-
Es gibt mehrere Möglichkeiten der Suche nach einer oder mehreren Geschäftsrollen:
Keine Eingabe vor dem Betätigen des Suchen-Buttons; es werden alle dem Mandanten zugeordneten Geschäftsrollen aufgelistet. Eingabe eines Teils des Namens (Beginn oder Abschluss mit dem Wildcard *); es werden diejenigen dem Mandanten zugeordneten Geschäftsrollen aufgelistet, welche den angegebenen Teil des Namens beinhalten. Durch Anklicken der gewünschten Geschäftsrollen wird diese dem Benutzer hinzugefügt. Wenn Sie den Benutzer für alle Geschäftsrollen als BVG berechtigen wollen, dann genügt das Aktivieren der Checkbox Berechtigt für alle Geschäftsrollen.


5. Optional: GKA und BVG mit "SelfAdmin" Rolle (=>Doppelrollen: GKA + BVG oder BVG + Geschäftsrollen)
In Fällen, in denen eine Person eines Mandanten, z.B. die Rolle des BVG für Sharepoint innehat und gleichzeitig auch selbst Sharepoint verwenden soll, kann sich dieser BVG nicht selbst autorisieren, da das IDM System Vorkehrungen trifft, die Auswahl seiner Person aus Sicherheitsgründen dem Suchraum auszublenden (Chinese-Wall-Prinzip). Der GKA kann dieses Prinzip explizit ausser Kraft setzen, indem er dem BVG die zusätzliche IDM-Rolle SelfAdmin zuordnet. Das Alternativ-Vorgehen dazu wäre die Ernennung eines zweiten BVG, der dem ersten die Geschäftsrollenrechte erteilt.

7 Informieren Sie sodann den neuen Benutzer, dass die Berechtigungen erteilt sind und der Zugriff auf die Fachapplikation geprüft werden soll.

Entzug von IDM-Rollen und Reports generieren


Entzug von IDM-Rollen
Den Benutzer suchen und bei der IDM-Rollen auf den Stift klicken. Im nächsten Fenster auf
1. Rollenzuweisung löschen klicken und dann
2. mit Löschen bestätigen.
Reports generieren
Da stehen Ihnen verschiedene Reports zur Verfügung.
Zur Rezertifizierung der Rollen wählen Sie «Benutzer pro Applikation» und klicken auf «Report generieren»
Öffnen Sie die Exceltabelle. Sie sehen alle Benutzer mit Rollen in ihrem Amt. Sie können sich über Daten filtern nur die Benutzer einer einzelnen Anwendung anzeigen lassen. In der Spalte Letzter Login sehen Sie wann der Benutzer die Applikation zuletzt genutzt hat.