IGA kontohantering
IGA kontohantering
Detta användningsfall beskriver scenarier för kontohantering för en IGA lösning, med fokus på administrativa användare.
Kontohantering är en viktig aspekt av administrationen, särskilt när användarkonton skapas, uppdateras eller tas bort från kataloger. I kontohantering definierar IGA administratören motsvarande inställningar för varje användartyp, enligt vad som anges i arbetsperiodhantering. Detta innebär att arbetsperiodhanteringen beskriver de åtgärder som ska vidtas när information tas emot av IGA lösningen, medan kontohanteringen anger vilken typ av information som tillhandahålls katalogerna.
I kontohanteringen kan IGA administratören definiera inställningar som de som anges nedan (för hela listan, läs kapitlet "Inställningar för kontohantering"):
- Allmän information och kataloginformation - vilken katalog dessa inställningar är för.
- Födelserättigheter – vilka åtkomsträttigheter (behörighet eller affärsroller) beviljas när ett nytt användarkonto skapas för första gången.
- E-postinställningar – vilka attribut från användarens arbetsperiod(er) används när e-postadressen genereras för användaren.
- Lösenordsinställningar – tillåtna och nekade tecken, lösenordslängd och var det första lösenordet levereras.
- Validerings- och påminnelseinställningar – hur länge kontot kan vara aktivt, när administratören får en förnyelseförfrågan och påminnelse om förfrågan inte besvaras.
- Kontoinställningar - vilka attribut från användarens arbetsperiod(er) används för att generera katalogrelaterade attribut.
- Kommunikation - hur och vem som informeras om nya användare, användarinformation och uppdateringar av information om avgående användare.
- Avgående användarinställningar - när slutdatum inträffar, när kontot inaktiveras, när åtkomsträttigheter tas bort.
Beskrivningar av användningsfall
Beskrivning av användningsfall
Detta användningsfall gör det möjligt för IGA administratören att enkelt definiera och ändra kontohanteringsinställningar ( IGA -kontoinformation) för att skapa, uppdatera eller ta bort konton i kataloger. Detta användningsfall kräver att inställningarna för hantering av arbetsperioder är konfigurerade och att personlig information och anställningsinformation för användare tas emot från källsystemet/källsystemen.
| Beskrivning | |
| Översikt | Detta användningsfall beskriver hur IGA -administratören kan definiera och ändra inställningar för kontohantering, vilka används för att skapa, uppdatera och ta bort konton från katalogen/katalogerna. |
| Operatörer |
|
| Förkunskapskrav |
|
| Resultat | IGA administratören har definierat eller ändrat regler för kontohantering. |
| Skapa nya inställningar |
|
| Uppdatera befintliga inställningar |
|
| Inaktiva befintliga inställningar |
|
Inställningar för kontohantering
IGA administratören kan ändra inställningar för kontohantering från IGA s kontoinformationsdatakort, och inställningarna beror på den aktuella katalogen (till exempel kräver AD OU-sökväg).
Inställningar för hantering av arbetsperioder beskrivs i artikeln om hantering av användarlivscykel .
Användare med en arbetsperiod och ett konto
- Skapa IGA kontoinformationsdatakort, där användartyp och kataloginformation matchar inställningarna för IGA arbetsperiodsdatakortet, där antalet arbetsperioder är inställt på "en" och en katalog är vald.
- Skapa så många IGA -kontodatakort som det finns olika användartyper, som behöver olika typer av kontoattribut.
Användare med en (1) arbetsperiod och flera konton
- Skapa ett IGA kontoinformationsdatakort, där användartyp och kataloginformation matchar inställningarna IGA arbetsperiodsdatakort, där antalet arbetsperioder är inställt på "en" och flera kataloger är valda.
- Skapa IGA kontoinformationskort enligt:
- Hur många katalogkonton som skapas per användare.
- Hur många konton, med olika inställningar, skapas per användare.
Användare med flera arbetsperioder och ett (1) konto
- Skapa IGA kontoinformationsdatakort, där användartyp och kataloginformation matchar inställningarna IGA arbetsperiodsdatakort, där antalet arbetsperioder är inställt på "flera" och en katalog är vald.
- Skapa så många IGA -kontodatakort som det finns olika användartyper som behöver olika typer av kontoattribut eller om olika arbetsperioder behöver ha olika typer av katalogkonton.
Användare med flera arbetsperioder och flera konton
- Skapa IGA kontoinformationskort enligt:
- Hur många katalogkonton som skapas per användare.
- Hur många konton, med olika inställningar, skapas per användare.
Användare med en arbetsperiod och ett konto ( för hantering av åtkomsträttigheter )
- Det finns inget behov av att göra några inställningar för kontohantering om användningsfall för användarlivscykelhantering inte är implementerade, och endast användningsfall för hantering av åtkomsträttigheter används.
Beräkning av primärkonto
Primärkontot beräknas automatiskt (beräkning i persondatakort) och behövs av olika skäl. Till exempel:
- Information från det primära kontot visas i användarens persondatakort.
- Användare loggar in på självbetjänings- och IGA lösningen med det primära kontot som är relaterat till användarens persondatakort.
IGA lösningen innehåller fördefinierad primärkontoberäkning:
- Om användaren har ett konto beräknas det alltid som primärt.
- Om användaren har två (2) eller fler konton:
- Primärkontot är det första kontot som skapades, baserat på skapandedatum.
- Om skapandedatumen är desamma är det primära kontot som saknar utgångsdatum.
- Om utgångsdatum finns i båda är det primära det som är giltigt längst.
- Om det primära kontot inte kan beräknas automatiskt kan IGA administratören definiera det primära kontot för användaren från användarens kontodatakort.
- Ta först bort primärkontoinformationen från det befintliga primärkontot och uppdatera därefter primärinformationen för att korrigera kontodatakortet.
- Instruktioner för IGA -administratörer finns i artikeln om hantering av användarlivscykeln, under kapitlet om användningsfall för IGA -administratörer.
Tillgängliga inställningar
| Klassnamn | Attribut | Beskrivning | Värde(n) | Katalog |
| Allmän information och kataloginformation | Status | Används regeln eller inte, aktiv eller inaktiv, standardinställningen är Aktiv. | Aktiv, inaktiv | Alla |
| Namn | Ge inställningen ett namn. | Alla | ||
| Beskrivning | Valfri beskrivning av kontoinställningarna. | Alla | ||
| Målsystem | Målsystem för kontoprovisionering från listan. |
AD Entra ID ( Azure AD ) OpenLDAP IBM LDAP HR-systemet Jira Manuellt målsystem OpenLDAP |
Alla | |
| Användartyp | Användartyp för det nya kontot från listan. Användartypen anger attributet från användarna, vilket används för att definiera vilka användare med det attributet som skapas baserat på dessa regler och inställningar. |
Anställd Extern administratörsanvändare Extern konsult Extern projektledare Gäst Inre Andra Privilegierad Praktikant |
Alla | |
| Språkregel | Hur man konverterar umlaut för katalogattributen. Standard är internationell regel. Internationell regel betyder ü = u, ä = a, ö = o, Tyskt styre betyder ü = ue, ä = ae, ö = oe, |
Alla | ||
| födslorättigheter | Rättigheter | Vilka rättigheter kontot får automatiskt när det skapas. Pro måste vara automatisk för dessa rättigheter. | Lista över aktiva rättigheter | Alla |
| Affärsroller | Vilka affärsroller kontot får automatiskt när det skapas. Pro måste vara automatisk för alla IGA behörigheter och underroller som läggs till i affärsrollen. | Lista över aktiva affärsroller | Alla | |
| E-postinställningar | E-postregel | Innehåller färdiga alternativ för vilka attribut som används när användarens e-postadress skapas. |
förnamn.efternamn efternamn.uttalat namn talat namn.efternamn |
Alla |
| E-postdomän | Vilken domän kontot får automatiskt när det skapas. En e-postdomän är den del av en e-postadress som kommer efter symbolen "@". | Alla | ||
| Finns det e-post? prefix? |
Välj ”ja” om prefix läggs till i e-postadressen. | Ja Inga |
Alla | |
| E-postprefix | Skriv här prefixet, som läggs till användarens e-postadress, före namnet. exempel: Anknytningsnamn.namn@example.com |
Alla | ||
| Finns det e-post? ändelse? |
Välj ”ja” om suffix läggs till e-postadressen. | Ja Inga |
Alla | |
| E-postsuffix | Skriv här suffixet, som läggs till användarens e-postadress, efter namnet. exempel: namn.namn.suffix@example.com |
Alla | ||
| Kontoinställningar | Kontotyp | Välj kontotyp- |
Vanligt konto Privilegiekonto Fysiskt konto Andra Servicekonto |
Alla |
| Användare med samma namnregel |
Tecken som används i e-postadressen för användare med samma namn. | Första bokstaven i mellannamnet Löpnummer Standardvärde |
Alla | |
| Definiera standardvärde | Skriv in standardvärdet här om "standardvärde" är valt i fältet "användare med samma namnregel". | Alla | ||
| Manuell avbrott när samma namn |
I de fall där användare har samma för- och efternamn kan IGA administratören bestämma om e-postadressen genereras automatiskt med extra tecken, eller om arbetsflödet stoppas, så att administratören kan fylla i e-postadressinformationen för den relaterade IGA -administratörsuppgiften. | Kryssruta | Alla | |
| Regel Common Name (CN) / DN | Innehåller färdiga alternativ för vilka attribut som används när CN skapas. |
Förnamn Efternamn Efternamn Förnamn Efternamn Talat namn Talat namn Efternamn |
AD , OpenLDAP | |
| Lägg till prefix för CN | Välj "ja" om prefix behövs för CN | AD , OpenLDAP | ||
| Prefix för vanligt namn (CN) | Visas om det finns ett värde i "lägg till prefix för CN", välj prefix från listan. | Företagsnamn Titel |
AD , OpenLDAP | |
| Regel Display Name (dn) | Innehåller färdiga alternativ för vilka attribut som används när dn skapas. |
Förnamn Efternamn Efternamn Förnamn Efternamn Talat namn |
Alla | |
| Lägg till prefix för dn | Välj "Ja" om prefix behövs för dn. | Alla | ||
| Prefix Display Name (dn) | Visas om det finns ett värde i "lägg till prefix för dn", välj prefix från listan. | Företagsnamn Titel |
Alla | |
| Regel för unika namn (DN) | Innehåller färdiga alternativ för vilka attribut som används när DN skapas. |
Förnamn + Efternamn Efternamn + Förnamn Efternamn + Talat namn Talat namn + Efternamn |
AD , OpenLDAP | |
| Lägg till prefix för DN | Välj ”Ja” om prefix behövs för DN. | AD , OpenLDAP | ||
| Prefix för unikt namn (DN) | Visas om det finns ett värde i "lägg till prefix för dn", välj prefix från listan. | Företagsnamn Titel |
AD , OpenLDAP | |
| UPN regel | Innehåller färdiga alternativ för vilka attribut som används när UPN skapas: |
E-post Förnamn + Efternamn Efternamn + Förnamn Efternamn + Talat namn Talat namn + Efternamn |
Alla | |
| Lägg till prefix för UPN | Välj Ja om prefix behövs. | Alla | ||
| UPN prefix | Visas om det finns ett värde i "lägg till prefix för dn", välj prefix från listan. | Företagsnamn Titel |
Alla | |
| SamAccount-regel | Innehåller färdiga alternativ för vilka attribut som används när SamAccountName skapas. |
Förnamn + Efternamn Slumpmässig (bokstäver) Slumpmässiga (siffror) Slumpmässigt (siffror och bokstäver) Talat namn + Efternamn |
AD | |
| SamAccount-längd | Nummer för längden när slumpmässiga bokstäver, siffror eller båda används. | AD | ||
| Lägg till prefix för SAM | Välj ”Ja” om prefix behövs för SAM. | AD | ||
| SamAccount-prefix | Visas om det finns ett värde i "lägg till prefix för SAM", välj prefix från listan. | Företagsnamn Titel |
AD | |
| Lägg till suffix för SAM | Välj "Ja" om suffix behövs för SAM. | AD | ||
| SamAccount-suffix | Visas om det finns ett värde i "lägg till suffix för SAM", välj prefix från listan. | Företagsnamn Titel |
AD | |
| OU för användare | I vilken OU-användare kommer att skapas/flyttas när den skapas eller uppdateras. | AD , OpenLDAP | ||
| Granska innan etablering till katalog | Välj ”Ja” om IGA -tjänstbegäran behöver granskas manuellt innan den provisioneras till katalog/kataloger. | Alla | ||
| Lösenordsinställningar | Lösenordslängd | Nummer för lösenordets längd. Ett starkt lösenord är minst 12 tecken långt, men 14 eller fler är bättre. | Alla | |
| Specialtecken som är tillåtna för lösenord | Lista över tillåtna specialtecken för lösenordet. | Listan innehåller vanliga tecken, som till exempel #, $, &, \, etc. | Alla | |
| Tecken som nekas i lösenord | IGA -administratören kan lägga till vilket tecken som helst som ska nekas från lösenordet. Rekommendationen är att neka minst 0, 1, o, O, L, l, i, I. Om samma tecken tillåts och nekas, kommer det att nekas. |
Alla | ||
| Första gången lösenordsmottagare | Mottagarens lösenord för första gången. |
E-post till användarens e-postadress (kräver att e-postadressen finns i IGA lösningen och att e-postinställningarna är konfigurerade) Chef Inget, lösenordet har inte levererats SMS till användarens telefonnummer (kräver att telefonnumren finns i IGA lösningen och att kunden har en egen SMS-gatewaytjänst) |
Alla | |
| Inställningar för avgående användare | Ställ in som inaktiverad | Antal dagar efter slutdagen då kontot är inaktiverat. | Alla | |
| Ta bort åtkomsträttigheter | Antal dagar efter slutdagen som åtkomsträttigheter relaterade till kontot har tagits bort. | Alla | ||
| Ta bort manuella åtkomsträttigheter | Antal dagar efter slutdagen som manuella åtkomsträttigheter tas bort. | Alla | ||
| Flytta till inaktiverad OU | Antal dagar efter slutdagen som kontot flyttas till inaktiverad OU. | AD , OpenLDAP | ||
| OU för funktionshindrad användare | Till vilken OU-användare som kommer att flyttas när den är inaktiverad. | AD , OpenLDAP | ||
| Återställ kontots åtkomsträttigheter om returer | Om användaren återvänder efter att åtkomsträttigheterna har tagits bort och processen för att lämna användaren fortfarande pågår, kommer tidigare åtkomsträttigheter att återställas om detta är inställt på "Ja". | Alla | ||
| Godkännande | Maximal validering | Maximal validering (dagar) för hur länge kontot är aktivt, innan IGA lösningen inaktiverar det (oavsett slutdatum för användarens arbetsperiod). Om ingen validering läggs till kommer användarens konto att vara aktivt tills vidare. Den här inställningen används vanligtvis för externa användare. |
Alla | |
| Skicka förnyelsepåminnelse | Hur många dagar i förväg skickas en förnyelsebegäran till självbetjäningen för godkännande av chefen. IGA lösningen föreslår automatiskt ny validering baserat på det maximala antalet valideringsdagar för IGA Set Account Information-datakortet. Chefen kan bara godkänna eller avvisa föreslagen validering. | Alla | ||
| Skicka en andra påminnelse | Hur många dagar i förväg skickas den andra förnyelsepåminnelsen till chefen (e-postmeddelande). | Alla | ||
| E-postlicenser borttagna efter | Borttagning av e-postlicens efter (dagar), när anställningens slutdatum infaller, när e-postrelaterade rättigheter tas bort. | Alla | ||
| E-postlicensgrupp(er) | Vilka e-postlicensgrupper tas bort när användaren lämnar webbplatsen? | Lista över rättigheter | Alla | |
| Kommunikation | E-postinnehåll för varje mottagare | Det kan finnas olika typer av e-postmallar som används när information om att skapa nya användare tas emot. |
Grundläggande: Information utan känsliga uppgifter (kunden måste definiera e-postinnehållet) Säker: Information med känsliga uppgifter (kunden måste definiera e-postinnehållet) |
Alla |
| Användarinformation skickad | Hur många dagar i förväg information skickas till alla mottagare, när ett nytt konto skapas eller information om avgående användare tas emot. Om inga dagar läggs till skickas informationen när start- eller slutdatum inträffar. | Alla | ||
| Mottagare av information om användarskapande | Innehåller färdiga alternativ för e-postmottagare. |
Team E-postadress(er) |
Alla | |
| Mottagarens team för information om användarskapande | Välj rätt team för att ta emot ärende om skapande av ny användare. |
Lista över lag i Efecte | Alla | |
| Mottagarens e-postadresser för information om användarskapande | E-postadresser dit information om att skapa en ny användare skickas. | Alla | ||
| Avgående mottagare av användarinformation |
Det kan finnas olika typer av e-postmallar som används när information om en avgående användare tas emot. Om inget alternativ är valt skickas inget e-postmeddelande. |
Team E-postadress(er) |
AllaAlla | |
| Avgående e-postadresser för mottagare av användarinformation | E-postadresser dit information om avgående användare skickas. | Alla | ||
| Avgående team för mottagare av användarinformation | Välj rätt team för att ta emot ärende om avgående användare. | Lista över lag i Efecte | Alla | |
| Mottagare av användaruppdateringsinformation |
Det kan finnas olika typer av e-postmallar som används när information om användarändringar tas emot. Om inget alternativ är valt skickas inget e-postmeddelande. |
Team E-postadress(er) |
Alla | |
| Mottagarens team för användaruppdateringar | Välj rätt team för att ta emot ärende om avgående användare. | Lista över lag i Efecte | Alla | |
| E-postmeddelanden med information om användaruppdateringar | E-postadresser dit information om användaruppdateringar skickas. | Alla |
Leveransinstruktioner
Konfigurationsinstruktioner
IGA kontodatakort används för arbetsflöden för att validera inställningar relaterade till skapande/uppdatering av katalogkonton. Därför behövs ingen konfiguration om inte ändringar görs i de faktiska inställningarna.
Följ upp kapitlet om inställningar för kontohantering för att skapa nya inställningar för olika användartyper.
Relationer till andra användningsfall,
Skapa nya användare (introduktion)
Uppdatera användarinformation
Uppdatera information om avgående användare
Självbetjäning: skapa nya användare, uppdatera användarinformation, uppdatera information om avgående användare
Instruktioner för system- och godkännandetestning
Detta användningsfall testas som en del av användarlivscykelhanteringen, när användare skapas, uppdateras eller när en process för att lämna användare startas, vilket innebär att samma testanvändare används, men i slutet av processerna valideras från katalogen/katalogerna att användarna har skapats/uppdaterats korrekt och att de kan logga in i självbetjäningen.
- Testa skapande/uppdatering av användare enligt användarlivscykelhantering eller självbetjäning: användningsfall för skapa/uppdatera användarinformation/uppdatera information för avgående användare.
- När en ny användare skapas, allokera självbetjäningsåtkomst för användaren.
- Logga in till kundkatalogen/katalogerna:
- Kontrollera att det nya användarkontot har skapats korrekt:
- Kontoattribut genereras enligt inställningarna i IGA setet för kontohanteringsdatakort.
- Genererade attribut tillhandahålls för att korrigera kontoattribut i katalogen.
- Kontot aktiveras enligt arbetsperiodens startdatum. Om startdatumet är tidigare är kontot aktivt omedelbart.
- Födelserättigheter beviljas enligt IGA :s kontoinformationsinställningar.
- Om katalogen använder OU-struktur, verifiera att användaren är skapad för att korrigera OU-sökvägen.
- Kommunikation sker enligt IGA :s kontoinformationsinställningar.
- Validera även e-postinnehållet.
- Kontrollera att användarinformationen är korrekt uppdaterad:
- Om användares personuppgifter (i användarnas namn) ändras.
- Kontrollera att kontoattributen, som baseras på användarnamnsattribut, genereras korrekt om enligt inställningarna i IGA -datakortet för kontoinformation.
- Om användarens anställningsinformation ändras:
- Kontrollera att kontoattribut relaterade till användarnas arbetsperiodsinformation uppdateras korrekt.
- Genererade attribut tillhandahålls för att korrigera kontoattribut i katalogen.
- Om katalogen använder OU-struktur, verifiera att användaren har flyttats till rätt OU-sökväg.
- Kommunikation sker enligt IGA :s inställningar för kontohantering.
- Validera även e-postinnehållet.
- Om användares personuppgifter (i användarnas namn) ändras.
- Kontrollera att informationen om avgående användare är korrekt uppdaterad:
- Anställningsdatum uppdateras till katalogen/katalogerna.
- Konto(n) är inaktiverade enligt IGA :s kontoinformationsdatakort.
- Om katalogen använder OU-struktur, verifiera att användaren har flyttats till rätt OU-sökväg.
- Kommunikation sker enligt IGA s inställningar för kontohantering:
- Validera även e-postinnehållet.
- Kontrollera att det nya användarkontot har skapats korrekt:
- Logga in på självbetjäning med användaren som har självbetjäningsåtkomst:
- Bekräfta att användaren kan logga in på självbetjäningen.
- Validera enligt användarnas användningsfall för att hantera IGA lösningen , så att användaren endast har åtkomst till de tjänster som definieras i användningsfallet.