Einleitung
Einer Core Identität kann eine oder mehrere Built-In CoreOne Suite Berechtigungsgruppen zugewiesen werden, um die CoreOne Suite internen Berechtigungen zu steuern. Die Berechtigungen der Built-In CoreOne Suite Berechtigungsgruppen können bei Bedarf angepasst werden (nicht empfohlen).
CoreOne Suite Berechtigungsgruppen (Built-In)
Folgende Built-In CoreOne Suite Berechtigungsgruppen werden standardmässig und in Abhängigkeit der lizenzierten Module ausgeliefert:
| Modul | CoreOne Suite Berechtigungsgruppe | Zugriff auf Elemente | Beschreibung |
|---|---|---|---|
| Basis | CoreOne Suite Administrator | Besitzt Schreibrechte auf alle Module und Elemente. | |
| Basis | CoreOne Suite Service Desk | Besitzt Berechtigungen für die Ausführung von Service Desk Aufgaben | |
| Basis | CoreOne Suite Self-Service User | Meine Daten Meine Rollen Meine Identitäten Meine Anträge (Modul Shop) Zu bewilligende Anträge (Modul Shop) | Besitzt Berechtigungen die persönlichen Daten zu bearbeiten und die ihm zugewiesenen Elemente anzuzeigen. |
| Basis | CoreOne Suite Security Supervisor | Audit-Trail Dashboard Anträge Berichte | Besitzt Leserechte auf alle sicherheitsrelevanten Informationen und Funktionalitäten. |
| Basis | CoreOne Suite Stammdaten Manager | Stammdaten | Besitzt sämtliche Berechtigungen auf die Stammdaten (Meta Directory). |
| Patch Management Orchestrator | CoreOne Suite Patch Management Orchestrator Administrator | Besitzt Schreibrechte auf alle Elemente des Moduls Patch Management Orchestrator. | |
| Patch Management Orchestrator | CoreOne Suite Patch Management Orchestrator User | ||
| Patch Management Orchestrator | |||
| Patch Management Orchestrator | |||
Akteure
Einsatzbereich | Nutzergruppe | Typ | Aktion | Beschreibung |
|---|---|---|---|---|
Segragation of Duty Lifecycle Management | SoD Rule Owner (Besitzer) | Gruppe | Bewilligt / verweigert Änderungen | Besitzer einer SoD Regel. Gibt Änderungen an einer SoD Rule frei. Muss bei der Erstellung einer SoD Regel definiert werden. Wird ein SoD Rule Owner definiert, erhält dieser eine Benachrichtigung das er SoD Rule Owner der entsprechenden SoD Rule wurde. |
| Segragation of Duty | SoD Rule Attestor (Beglaubiger) | Gruppe | Bewilligt / verweigert Attestierung | Attestieren (beglaubigen) periodisch eine SoD Rule. Kann bei der Erstellung einer SoD Regel definiert werden. Standardmässig ist der SoD Rule Owner auch der SoD Rule Attestor, wenn er keinen explizieten SoD Rule Attestor definiert. Wird ein SoD Rule Attestor definiert, erhält dieser eine Benachrichtigung das er SoD Rule Attestor der entsprechenden SoD Rule wurde. |
| Segragation of Duty | SoD Rule Exception Approver (Bewilliger) | Gruppe | Bewilligt / verweigert Konflikt | Bewilligen, verweigern oder lösen einen SoD Konflikt auf. Die SoD Rule Exception Attestor werden global definiert - sprich eine oder mehrere Personen erhalten alle Benachrichtigungen über die Regelverletzungen. Der SoD Rule Exception Approver wird automatisch zum SoD Rule Exception Attestor, wenn er keinen SoD Rule Exception Attestor definiert. Wird ein SoD Rule Exception Attestor definiert, erhält dieser eine Benachrichtigung das er SoD Rule Exception Attestor des entsprechenden Konflikts wurde. |
| Segragation of Duty | SoD Rule Exception Attestor (Beglaubiger) | Gruppe | Bewilligt / verweigert Attestierung | Attestieren (beglaubigen) periodisch die SoD Regelverletzungen. Der SoD Rule Exception Attestor ist eine globale IAM Rolle und wird explizit definiert. |
Zertifizierung Lifecycle Management | Role Owner (Besitzer) | Gruppe | Bewilligt / verweigert Änderung | Besitzer einer Rolle. Gibt Änderungen an einer Rolle frei, bewilligt Anträge für die Rolle. |
| Zertifizierung | Role Assignment Attestor (Beglaubiger) | Gruppe | Bewilligt / verweigert Attestierung | Attestieren (beglaubigen) periodisch die Rollenzuweisungen. Wenn nicht definiert, ist Role Owner automatisch auch der Role Assignment Attestor und der Role Configuration Attestor. Wird ein Role Assignment Attestor oder ein Role Configuration Attestor definiert, erhält dieser eine Benachrichtigung. |
| Zertifizierung | Role Configuration Attestor (Beglaubiger) | Gruppe | Bewilligt / verweigert Attestierung | Attestieren (beglaubigen) periodisch die Rollenkonfiguration (Inhalt). |
Zertifizierung Lifecycle Management | Resource Owner (Besitzer) | Gruppe | Bewilligt / verweigert Änderung | Besitzer einer Ressource. Gibt Änderungen an einer Ressource frei, bewilligt Anträge für die Ressource. |
| Zertifizierung | Resource Assignment Attestor (Beglaubiger) | Gruppe | Bewilligt / verweigert Attestierung | Attestieren (beglaubigen) periodisch die Ressourcenzuweisungen. Wenn nicht definiert, ist Ressource Owner automatisch auch der Ressource Assignment Attestor. Wird ein Ressource Assignment Attestor definiert, erhält dieser eine Benachrichtigung. |
Zertifizierung Lifecycle Management | Identity Owner (Besitzer) | Gruppe | Bewilligt / verweigert Änderung | Besitzer einer Identität. Gibt Änderungen an einer Identität frei. Wenn nicht definiert, ist Identity Owner automatisch auch der Identity Attestor. |
| Zertifizierung | Identity Attestor (Beglaubiger) | Gruppe | Bewilligt / verweigert Attestierung | Attestieren (beglaubigen) periodisch eine technische Identität. Wird ein Identity Attestor definiert, erhält dieser eine Benachrichtigung. |
| Zertifizierung | Scope Approver (Genehmiger) | Gruppe | Bewilligt / verweigert | Überwachen eine Gruppe von kritischen Berechtigungen |
| Access Approver (Genehmiger) | Gruppe | Bewilligt / verweigert Attestierung | Person, welche beantrage Berechtigungen bewilligt oder ablehnt. | |
| Access Requester (Antragsteller) | Person | Beantragt | Person, welche Berechtigungen direkt über das CoreOne Portal beantragt. Die Auswahl der Berechtigungen (Aufgaben, Rollen, Ressourcen) können eingeschränkt sein. | |
| Zertifizierung | Access Attestor (Beglaubiger) | Gruppe | Attestiert | Person (Bsp. Linienvorgesetzter), welche vergeben Berechtigungen einer Person oder Gruppe periodisch attestiert. |
| Delegated Access Requester (Antragsteller) | Person | Beantragt | Person, welche für eine andere Person Berechtigungen beantragt (Bsp. der Vorgesetzte Mitarbeiter, der für einer seiner Mitarbeiter Berechtigungen beantragt) | |
| Delegated Access Approver (Genehmiger) | Person | Bewilligt / verweigert | Person, welche für eine andere Person stellvertretend Berechtigungen bewilligt. Vorausgesetzt die Person delegiert diese Aufgabe für einen definierten Zeitraum an eine andere Person. Die Auswahl der Personen können eingeschränkt sein (Bsp. nur an gleichgestellte Positionen). | |
| Stellevertreter | Person | - | Stellvertreter einer Person. Die Person kann von den Stammdaten abgeleitet werden oder die Person bestimmt explizit und für einen definierten Zeitraum einen Stellvertreter. | |
| Direkter Vorgesetzter | Person | - | Direkter Vorgesetzter einer Person. | |
| Direkter Vorgesetzter Stellverterter | Person | - | Stellvertretender, direkter Vorgesetzter einer Person. | |
| Human Resources | Gruppe | - | ||
| CoreOne Administrator (Systemowner) | Administrator einer CoreOne Instanz | |||
| CoreOne Security Supervisor (Besitzer) | Person, welche über definierte Vorkommnisse oder Konflikte informiert wird (Bsp. CISO) | |||
| CoreOne Supervisor (Besitzer) | Überwacht die Berechtigungsvergabe innerhalb der CoreOne Suite. | |||
| CoreOne Zielsystem Owner | Besitzer eines spezifischen Zielsystems. Bewilligt Änderungen am Zielsystem. | |||
| CoreOne Zielnetzwerk Owner | Besitzer eines spezifischen Zielnetzwerks. Bewilligt Änderungen am Zielnetzwerk. | |||
| CoreOne Stammdaten Owner | Besitzer des Meta Directory. Bewilligt Änderungen am Meta Directory |