2013 Quest Software, Inc. ALL RIGHTS RESERVED.

6.1 IT Shop

2013 Quest Software, Inc. ALL RIGHTS RESERVED. Dieses Handbuch enthält urheberrechtlich geschützte Informationen. Die im vorliegenden Handbuch beschriebene Software unterliegt den Bedingungen der jeweiligen Softwarelizenz oder Geheimhaltungsvereinbarung. Die Software darf nur gemäß den Bedingungen der Vereinbarung benutzt oder kopiert werden. Diese Anleitung darf ohne schriftliche Erlaubnis von Quest Software, Inc. weder ganz noch teilweise in beliebiger Form oder durch beliebige elektronische oder mechanische Hilfsmittel einschließlich des Fotokopierens und Speicherns für andere Zwecke als den persönlichen Gebrauch des Käufers vervielfältigt oder weitergegeben werden. Die Informationen in diesem Dokument werden in Verbindung mit Quest-Produkten zur Verfügung gestellt. Durch dieses Dokument wird weder explizit noch implizit, durch Duldungsvollmacht oder auf andere Weise, eine Lizenz auf intellektuelle Eigentumsrechte erteilt, auch nicht in Verbindung mit dem Erwerb von Quest-Produkten. MIT AUSNAHME DER BESTIMMUNGEN IN DEN ALLGEMEINEN GESCHÄFTS- BEDINGUNGEN VON QUEST, DIE IN DER LIZENZVEREINBARUNG FÜR DIESES PRODUKT AUFGEFÜHRT SIND, ÜBERNIMMT QUEST KEINERLEI HAFTUNG UND SCHLIESST JEDE EXPLIZITE, IMPLIZITE ODER GESETZLICHE GEWÄHRLEISTUNG FÜR SEINE PRODUKTE AUS, INSBESONDERE DIE IMPLIZITE GE- WÄHRLEISTUNG DER MARKTFÄHIGKEIT, DER EIGNUNG ZU EINEM BESTIMMTEN ZWECK UND DIE GE- WÄHRLEISTUNG DER NICHTVERLETZUNG VON RECHTEN. UNTER KEINEN UMSTÄNDEN HAFTET QUEST FÜR UNMITTELBARE, MITTELBARE ODER FOLGESCHÄDEN, SCHADENSERSATZ, BESONDERE ODER KONKRETE SCHÄDEN (INSBESONDERE SCHÄDEN, DIE AUS ENTGANGENEN GEWINNEN, GESCHÄFTS- UNTERBRECHUNGEN ODER DATENVERLUSTEN ENTSTEHEN), DIE SICH DURCH DIE NUTZUNG ODER UNMÖGLICHKEIT DER NUTZUNG DIESES DOKUMENTS ERGEBEN, AUCH WENN QUEST ÜBER DIE MÖG- LICHKEIT SOLCHER SCHÄDEN INFORMIERT WURDE. Quest übernimmt keine Garantie für die Richtigkeit oder Vollständigkeit der Inhalte dieses Dokuments und behält sich vor, jederzeit und ohne vorherige Ankündigung Änderungen an den Spezifikationen und Produktbeschreibungen vorzunehmen. Quest geht keinerlei Verpflichtung ein, die in diesem Dokument enthaltenen Informationen zu aktualisieren. Bei Fragen zur möglichen Verwendung dieser Materialien wenden Sie sich bitte an: Quest Software World Headquarters LEGAL Dept 5 Polaris Way Aliso Viejo, CA 92656 USA E-Mail: legal@quest.com Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website (www.quest.com).

Patente Dieses Produkt enthält zum Patent angemeldete Technologie. Warenzeichen Quest, Quest Software, das Quest Software-Logo, ActiveRoles, Data Governance, Password Manager, Quest One Identity Manager, Quick Connect und Webthorithy sind Warenzeichen und eingetragene Warenzeichen von Quest Software, Inc in den Vereinigten Staaten von Amerika und in anderen Ländern. Eine komplette Liste der Quest Software Warenzeichen finden Sie unter http://www.quest.com/legal/ trademarks.aspx. Andere in diesem Handbuch verwendete Warenzeichen und eingetragene Warenzeichen sind Eigentum ihrer jeweiligen Besitzer. Beiträge von Drittanbietern Quest One Identity Manager enthält einige Komponenten von Drittanbietern (nachfolgend aufgelistet). Kopien der Lizenzen dieser Drittanbieter finden Sie auf unserer Webseite unter http://www.quest.com/ legal/third-party-licenses.aspx. KOMPONENTE.Less 1.3.1 LIZENZ ODER BESTÄTIGUNG Apache License Version 2.0, Januar 2004 (http://www.apache.org/ licenses). Apache 2.0 License..NET logging library 1.0 Copyright 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 The Regents of the University of California. All rights reserved. BSD 4.4 License. Boost 1.34.1 Boost Software License - Version 1.0 - August 17th, 2003. Boost 1.0 License. cherrypy 3.1.1 Dojo Toolkit 1.8.3 Google APIs Auth Client Library 1.6.0.1 Google APIs Auth MVC Extensions 1.6.0 Google APIs Client Library for.net 1.6.0 (Beta) Google Open Sans 1.0 Google.Apis.Admin.Directory.directory_v1 Client Li 1.6.0.21 jcrop 0.9.9 JQuery 1.7.1 JQuery UI 1.8.20 Copyright 2002-2008, CherryPy Team (team@cherrypy.org). All rights reserved. Copyright 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 The Regents of the University of California. All rights reserved. BSD 4.4 License. Copyright. All Rights Reserved. BSD Simple License. Apache License Version 2.0, Januar 2004 (http://www.apache.org/ licenses). Apache 2.0 License. Apache License Version 2.0, Januar 2004 (http://www.apache.org/ licenses). Apache 2.0 License. Apache License Version 2.0, Januar 2004 (http://www.apache.org/ licenses). Apache 2.0 License. Apache License Version 2.0, Januar 2004 (http://www.apache.org/ licenses). Apache 2.0 License. Apache License Version 2.0, Januar 2004 (http://www.apache.org/ licenses). Apache 2.0 License. Copyright. MIT License. Copyright. MIT License. Copyright. MIT License.

KOMPONENTE Log4Net 1.2.11 Log4Net 2.0.3 Mono.Security 2.0.3600.1 Newtonsoft.Json.dll 5.0.8 Novell.Directory.LDAP 2.1.9.0 pyodbc 2.1.3 LIZENZ ODER BESTÄTIGUNG Apache License Version 2.0, Januar 2004 (http://www.apache.org/ licenses). Apache 2.0 License. Apache License Version 2.0, Januar 2004 (http://www.apache.org/ licenses). Apache 2.0 License. Copyright. MIT License. Copyright. MIT License. Copyright. MIT License. Copyright. MIT License. Python 2.5.2 Python 2.5 license 2.5. Copyright 2001-2006 Python Software Foundation. All rights reserved. Copyright 1995-2001 Corporation for National Research Initiatives. All rights reserved. Copyright 1991-1995 Stichting Mathematisch Centrum Amsterdam, The Netherlands. All rights reserved. SharpZipLib 0.85.4.369 spin.js 1.2.2 SQLAlchemy 0.5.0 Windows Installer XML toolset (aka WIX) 3.6.3303.0 SharpZipLib License. Copyright. MIT License. Copyright. MIT License. Microsoft Reciprocal License (MS-RL). zlib 1.2.3 Copyright 1995-2005 Jean-loup Gailly and Mark Adler. zlib 1.2.3 License. zlib portable 1.9.2 Copyright (C) 1995-2012 Jean-loup Gailly and Mark Adler. zlib 1.2.7 License. ZLib.NET 1.0.3 Copyright 2006, ComponentAce (http://www.componentace.com). All rights reserved. ZLib.NET 1.0.3 License. Quest One Identity Manager - IT Shop Aktualisiert - Dezember 2013 Softwareversion - 6.1.2

INHALT KAPITEL 1 ÜBER DIESES HANDBUCH................................................9 QUEST ONE IDENTITY MANAGER...................................... 10 ZIELGRUPPE DES HANDBUCHES........................................ 10 IDENTITY MANAGER DOKUMENTATION.................................... 10 KAPITEL 2 EINRICHTEN EINER IT SHOP-LÖSUNG.......................................13 EINLEITUNG................................................... 14 INBETRIEBNAHME DES IT SHOPS....................................... 15 BESTELLBARE PRODUKTE............................................ 16 VORBEREITUNG DER PRODUKTE ZUR BESTELLUNG............................. 17 ERFASSEN VON LEISTUNGSPOSITIONEN................................ 19 ALLGEMEINE STAMMDATEN EINER LEISTUNGSPOSITION..................... 19 ERWEITERTE STAMMDATEN EINER LEISTUNGSPOSITION..................... 21 STANDARD-LEISTUNGSPOSITIONEN................................. 21 ZUSÄTZLICHE AUFGABEN ZUR VERWALTUNG VON LEISTUNGSPOSITIONEN.......... 21 FESTLEGEN VON ABHÄNGIGKEITEN ZWISCHEN PRODUKTEN.................. 23 BERICHTE ÜBER LEISTUNGSPOSITIONEN.............................. 24 ERFASSEN VON SERVICEKATEGORIEN................................. 27 STANDARD-SERVICEKATEGORIEN.................................. 28 ZUSÄTZLICHE AUFGABEN ZUR VERWALTUNG VON SERVICEKATEGORIEN........... 28 ERFASSEN PRODUKTSPEZIFISCHER BESTELLEIGENSCHAFTEN.................... 29 BESTELLEIGENSCHAFTEN KOPIEREN................................. 30 MEHRFACH BESTELLBARE PRODUKTE.................................. 30 PRODUKTE FÜR ZEITLICH BEGRENZTE BESTELLUNGEN........................ 31 PRODUKTBESTELLUNG BEI WECHSEL DES KUNDEN IN EINEN ANDEREN SHOP.......... 32 ERFASSEN VON SCHLAGWORTEN.................................... 33 ZUSÄTZLICHE AUFGABEN FÜR SCHLAGWORTE.......................... 34 ZUWEISUNGSBESTELLUNG UND DELEGIERUNG............................ 35 ZUWEISUNGSBESTELLUNGEN VORBEREITEN............................ 35 BESTELLEN EINZELNER GESCHÄFTSROLLEN............................ 36 ZUWEISUNGSBESTELLUNGEN UNTERNEHMENSSPEZIFISCH ANPASSEN............. 37 DELEGIERUNGEN VORBEREITEN................................... 39 ZUWEISUNGEN UND DELEGIERUNGEN ABBESTELLEN....................... 39 ENTFERNEN EINES KUNDEN AUS EINEM SHOP.......................... 40 ZUWEISEN UND ENTFERNEN DER PRODUKTE................................ 40 ZUWEISEN EINES PRODUKTES...................................... 41 ENTFERNEN EINES PRODUKTES..................................... 41 VERSCHIEBEN EINES PRODUKTES IN EIN ANDERES REGAL..................... 42 WECHSELN EINES PRODUKTES..................................... 42 BESTELLVORLAGEN............................................... 42 BESTELLVORLAGEN BEARBEITEN..................................... 43 BESTELLVORLAGEN LÖSCHEN...................................... 44 GENEHMIGUNGSVERFAHREN FÜR IT SHOP-BESTELLUNGEN........................ 44 BEARBEITEN VON ENTSCHEIDUNGSRICHTLINIEN........................... 45 5

Quest One Identity Manager STANDARD-ENTSCHEIDUNGSRICHTLINIEN............................. 46 ZUSÄTZLICHE AUFGABEN FÜR ENTSCHEIDUNGSRICHTLINIEN.................. 46 ARBEITEN MIT DEM WORKFLOWEDITOR................................ 47 EINRICHTEN VON ENTSCHEIDUNGSWORKFLOWS........................... 49 ENTSCHEIDUNGSEBENEN UND ENTSCHEIDUNGSSCHRITTE BEARBEITEN............ 50 ENTSCHEIDUNGSEBENEN VERBINDEN................................ 54 ENTSCHEIDUNGSWORKFLOW KOPIEREN.............................. 55 ENTSCHEIDUNGSWORKFLOW LÖSCHEN............................... 55 STANDARD-ENTSCHEIDUNGSWORKFLOWS............................. 55 ERMITTELN DER WIRKSAMEN ENTSCHEIDUNGSRICHTLINIE..................... 56 AUSWAHL DER VERANTWORTLICHEN ENTSCHEIDER......................... 57 SELBSTBEDIENUNG.......................................... 59 ENTSCHEIDER ÜBER DIE IT SHOP STRUKTUREN ERMITTELN.................. 59 ENTSCHEIDER ÜBER DEN KUNDEN ERMITTELN.......................... 59 ENTSCHEIDER ÜBER EINE FESTGELEGTE ROLLE ERMITTELN................... 60 ENTSCHEIDER ÜBER DAS BESTELLTE PRODUKT ERMITTELN................... 60 ENTSCHEIDER ÜBER EINE GENEHMIGERROLLE ERMITTELN.................... 61 ENTSCHEIDER ÜBER EINE KOSTENSTELLE ERMITTELN...................... 62 DYNAMISCH ERRECHNETER PERSONENKREIS........................... 62 VERZÖGERTE ENTSCHEIDUNG EINER BESTELLUNG........................ 63 ERRECHNETE ENTSCHEIDUNG.................................... 64 EXTERN VORZUNEHMENDE ENTSCHEIDUNG............................ 66 BESTELLER ERMITTELN........................................ 67 PRÜFEN VON BESTELLUNGEN AUF REGELKONFORMITÄT....................... 67 RISIKOBEWERTUNG VON BESTELLUNGEN............................. 68 ÜBERPRÜFUNG DER BESTELLUNGEN MIT SELBSTBEDIENUNG.................. 69 ERMITTELN DER AUSNAHMEGENEHMIGER............................. 70 GENEHMIGUNG VON BESTELLUNGEN EINES ENTSCHEIDERS.................... 71 AUTOMATISCHE ENTSCHEIDUNG VON BESTELLUNGEN........................ 73 EINHOLEN WEITERER INFORMATIONEN ZUR BESTELLUNG DURCH EINEN ENTSCHEIDER.... 74 ANDERE ENTSCHEIDER BEAUFTRAGEN................................. 74 ESKALIEREN EINES ENTSCHEIDUNGSSCHRITTES........................... 75 AUTOMATISCHE ENTSCHEIDUNG BEI ZEITÜBERSCHREITUNG.................... 77 ABBRUCH EINER BESTELLUNG BEI ZEITÜBERSCHREITUNG..................... 77 BENACHRICHTIGUNGEN IM BESTELLPROZESS................................ 79 AUFFORDERUNG ZUR ENTSCHEIDUNG................................. 80 ERINNERUNG DER ENTSCHEIDER.................................... 80 ZEITGESTEUERTE AUFFORDERUNG ZUR ENTSCHEIDUNG....................... 81 ABLAUF EINER BEFRISTETEN BESTELLUNG............................... 82 GENEHMIGUNG ODER ABLEHNUNG EINER BESTELLUNG....................... 82 ABBRUCH EINER BESTELLUNG...................................... 83 ESKALATION EINER BESTELLUNG.................................... 83 DELEGIERUNG EINER ENTSCHEIDUNG................................. 83 ZURÜCKWEISEN EINER ENTSCHEIDUNG................................ 83 BENACHRICHTIGUNGEN BEI ANFRAGEN................................ 84 ENTSCHEIDUNG EINER BESTELLUNG DURCH EINEN ZUSÄTZLICHEN ENTSCHEIDER....... 85 6

Inhalt STANDARD-MAILVORLAGEN....................................... 85 ABLAUF EINER BESTELLUNG.......................................... 86 ÜBERBLICK ÜBER BESTELLUNGEN.................................... 86 DETAILS DER BESTELLUNG...................................... 87 ENTSCHEIDUNGSVERLAUF...................................... 87 GENEHMIGUNGSHISTORIE...................................... 88 MEHRFACHE BESTELLUNG EINES PRODUKTES............................. 89 ZEITLICH BEGRENZTE BESTELLUNGEN................................. 89 WECHSEL DES KUNDEN IN EINEN ANDEREN SHOP.......................... 90 ÄNDERUNG DES ENTSCHEIDUNGSWORKFLOWS BEI OFFENEN BESTELLUNGEN.......... 91 BESTELLUNGEN FÜR MITARBEITER................................... 91 MANAGERWECHSEL FÜR MITARBEITER BESTELLEN.......................... 91 ENTSCHEIDUNG PER E-MAIL.......................................... 93 VERARBEITUNG EINER ENTSCHEIDUNGSMAIL............................. 95 BEARBEITEN DES IT SHOPS.......................................... 96 BASISDATEN FÜR DEN IT SHOP..................................... 97 ROLLENTYPEN............................................. 97 ENTSCHEIDUNGSRICHTLINIEN UND ENTSCHEIDUNGSWORKFLOWS............... 98 BEARBEITUNGSSTATUS........................................ 98 ANWENDUNGSROLLEN......................................... 98 MAILVORLAGEN............................................ 99 PARTNERFIRMEN............................................ 99 SERVICEKATALOG........................................... 99 BESTELLEIGENSCHAFTEN....................................... 99 EINRICHTEN EINES SHOPPINGCENTERS................................ 99 SHOPPINGCENTERVORLAGE ZUORDNEN...............................101 ZUSÄTZLICHE AUFGABEN FÜR SHOPPINGCENTER.........................101 EINRICHTEN EINES SHOPS........................................102 ZUSÄTZLICHE AUFGABEN FÜR SHOPS...............................103 EINRICHTEN VON KUNDENKNOTEN...................................103 ZUSÄTZLICHE AUFGABEN FÜR KUNDENKNOTEN..........................104 EINRICHTEN EINES REGALS.......................................105 ZUSÄTZLICHE AUFGABEN FÜR REGALE...............................106 LÖSCHEN VON IT SHOP STRUKTUREN.................................106 VORLAGEN ZUR AUTOMATISCHEN IT SHOP-BEFÜLLUNG..........................107 VORGEHENSWEISE BEIM ERSTELLEN VON REGALVORLAGEN.....................110 REGALVORLAGEN ERSTELLEN.......................................111 ZUSÄTZLICHE AUFGABEN FÜR REGALVORLAGEN.........................112 REGALVORLAGEN AN SHOPS UND SHOPPINGCENTERVORLAGEN ZUWEISEN............113 REGALVORLAGEN LÖSCHEN........................................114 ÜBERNAHME VORHANDENER BENUTZERKONTEN, GRUPPENZUORDNUNGEN UND ROLLENMITGLIEDSCHAF- TEN IN IT SHOP BESTELLUNGEN.......................................114 BESTELLUNGEN FÜR BENUTZERKONTEN................................115 BESTELLUNGEN FÜR GRUPPENZUORDNUNGEN.............................116 BESTELLUNGEN FÜR ZUWEISUNGEN AN ROLLEN...........................117 7

Quest One Identity Manager BEISPIEL ZUR ERZEUGUNG VON BESTELLUNGEN FÜR BESTEHENDE BENUTZERKONTEN.....118 ERSTELLEN KUNDENSPEZIFISCHER MAILVORLAGEN FÜR BENACHRICHTIGUNGEN............120 ALLGEMEINE EIGENSCHAFTEN EINER MAILVORLAGE.........................122 ERSTELLEN UND BEARBEITEN EINER MAILDEFINITION........................123 VERWENDEN VON EIGENSCHAFTEN DES BASISOBJEKTES......................123 VERWENDEN VON HYPERLINKS ZUM WEB PORTAL..........................124 STANDARDFUNKTIONEN FÜR DIE ERSTELLUNG VON HYPERLINKS.................125 KUNDENSPEZIFISCHE PROZESSE FÜR BENACHRICHTIGUNGEN...................127 ZEITLICH BEGRENZTE BESTELLUNGEN FÜR GEÄNDERTE ROLLENMITGLIEDSCHAFTEN.........128 INFOSYSTEM ZUM IT SHOP..........................................129 GLOSSAR.........................................................131 INDEX...........................................................153 KONTAKT ZU QUEST..................................................161 ÜBER DIE QUEST SOFTWARE.........................................162 KONTAKT ZU QUEST SOFTWARE.......................................162 KONTAKT ZUM QUEST-SUPPORT.......................................162 8

1 Über dieses Handbuch Quest One Identity Manager Zielgruppe des Handbuches Identity Manager Dokumentation

Quest One Identity Manager Quest One Identity Manager Quest One Identity Manager rationalisiert die Verwaltung von Benutzeridentitäten, Zugriffsberechtigungen und Sicherheitseinstellungen. Das Identity- und Access Management kann nun die Bedürfnisse Ihres Unternehmens erfüllen, ohne durch die Ressourcen und Kapazitäten Ihrer IT eingeschränkt zu werden. Quest One Identity Manager basiert auf einer prozessoptimierten Architektur und realisiert, im Gegensatz zu traditionellen Lösungen, die wesentlichen Identity- und Access Management Herausforderungen mit einem Bruchteil an Komplexität, Zeitaufkommen und Kosten. Zielgruppe des Handbuches Dieses Handbuch erläutert Ihnen die Funktionsweise des IT Shops. Aufgabe des IT Shops ist die Selbstversorgung der Mitarbeiter mit den Unternehmensressourcen, die sie zur Erfüllung ihrer Aufgaben benötigen. Sie erfahren, wie Sie eine IT Shop-Lösung in der Identity Manager-Datenbank einrichten. Eine IT Shop- Lösung umfasst Shop- und Kundenstrukturen, bestellbare Produkte, Bestellvorgänge und Entscheidungsmethoden. Über Entscheidungsmethoden definieren Sie verschiedene Workflows, mit denen Bestellungen oder Abbestellungen durch authorisierte Personen genehmigt werden. Dieses Handbuch wurde als Nachschlagewerk für Systemadministratoren, Berater, Analysten und andere IT-Fachleute entwickelt. Dieses Handbuch beschreibt die Funktionen des Identity Managers, die für den Standardbenutzer verfügbar sind. Abhängig von der Systemkonfiguration und den Berechtigungen stehen Ihnen eventuell nicht alle Funktionen zur Verfügung. Identity Manager Dokumentation Die Identity Manager-Dokumentation umfasst die im Folgenden beschriebenen Handbücher. Diese befinden sich auf dem Installationsmedium im Verzeichnis...\Quest One Identity Manager\ Documentation. Erste Schritte Dieses Handbuch enthält die Installationsanleitungen und die Produktübersicht zum Identity Manager. Identity Management Dieses Handbuch enthält detaillierte Informationen zur Administration mit dem Identity Manager. Prozess-Orchestrierung Dieses Handbuch stellt Informationen zur Entwicklung und Implementierung von Prozessabläufen im Identity Manager bereit. Konfiguration Dieses Handbuch stellt Informationen zur Konfiguration und Erweiterung des Identity Managers bereit. IT Shop Dieses Handbuch enthält detaillierte Informationen zur Einrichtung und Umgang mit dem IT Shop bereit. 10

Über dieses Handbuch Web Portal Anwenderdokumentation Dieses Handbuch enthält detaillierte Informationen zum Umgang mit dem Web Portal. Web Portal Installation Guide Dieses Handbuch enthält die Anweisungen zur Installation des Web Portals. Dieses Handbuch ist nur in Englisch verfügbar. Web Designer Referenzhandbuch Dieses Handbuch enthält Informationen zur Konfiguration und Erweiterung des Web Portals. Identity Manager Web Installationshandbuch Dieses Handbuch enthält die Anweisungen zur Installation des Identity Manager Web. 11

Quest One Identity Manager 12

2 Einrichten einer IT Shop-Lösung Einleitung Inbetriebnahme des IT Shops Bestellbare Produkte Vorbereitung der Produkte zur Bestellung Zuweisen und Entfernen der Produkte Bestellvorlagen Genehmigungsverfahren für IT Shop-Bestellungen Benachrichtigungen im Bestellprozess Ablauf einer Bestellung Entscheidung per E-Mail Bearbeiten des IT Shops Vorlagen zur automatischen IT Shop-Befüllung Übernahme vorhandener Benutzerkonten, Gruppenzuordnungen und Rollenmitgliedschaften in IT Shop Bestellungen Erstellen kundenspezifischer Mailvorlagen für Benachrichtigungen Zeitlich begrenzte Bestellungen für geänderte Rollenmitgliedschaften Infosystem zum IT Shop

Quest One Identity Manager Einleitung Der IT Shop ermöglicht den Benutzern das Anfordern von Unternehmensressourcen wie Applikationen, Systemrollen oder Gruppenmitgliedschaften sowie Nicht-IT-Ressourcen wie beispielsweise Mobiltelefone oder Schlüssel. Darüber hinaus kann auch die Mitgliedschaft in einer Rolle (Abteilung, Standort, Kostenstelle, Geschäftsrolle) über den IT Shop bestellt werden. Die Bearbeitung der Anfragen läuft über flexible, richtlinienbasierte Genehmigungsverfahren. Durch den Einsatz des IT Shops werden zeitintensive Anfragen im Unternehmen verhindert und der Administrationsaufwand minimiert. Über die Bestellhistorie ist jederzeit nachvollziehbar, wer welche Unternehmensressourcen oder Rollen wann bestellt, verlängert oder abbestellt hat. Zu einer IT Shop-Lösung gehören Shops, Regale, Kunden, Produkte. Mehrere Shops können zu Shoppingcentern zusammengefasst werden. Den Regalen werden Unternehmensressourcen als Produkte zugewiesen. Produkte können nach Servicekategorien gruppiert werden. Alle Servicekategorien werden in einem Servicekatalog zusammengefasst. Kunden können im Web Portal Produkte aus dem Servicekatalog auswählen, in einen Einkaufswagen legen und bestellen. Die folgende Abbildung zeigt ein Beispiel für einen Servicekatalog. Beispiel für einen Servicekatalog Bestellungen durchlaufen ein definiertes Genehmigungsverfahren, in dem über die Zuweisung der Produkte entschieden wird. Produkte können verlängert oder abbestellt werden. Auch für Verlängerung und Abbestellung können Genehmigungsverfahren festgelegt werden. Für Genehmigungsverfahren werden Entscheidungsrichtlinien definiert. Den Entscheidungsrichtlinien werden Entscheidungsworkflows für Bestellen, Verlängern und Abbestellen von Produkten zugeordnet. Beispiel für einen einfachen Entscheidungsworkflow 14

Einrichten einer IT Shop-Lösung Die Produkte werden mit dem Web Portal bestellt, verlängert und abbestellt. Autorisierte Personen haben die Möglichkeit, Bestellungen und Abbestellungen zu genehmigen. Weitere Informationen erhalten Sie in der Web Portal Anwenderdokumentation. Inbetriebnahme des IT Shops In der Standardinstallation des Identity Managers ist bereits der Shop Identity Lifecycle vorhanden. Der Shop enthält verschiedene Regale, denen Standard-Leistungpositionen als Produkte zugewiesen sind. Diese Produkte können Sie nutzen, um beispielsweise Rollenmitgliedschaften oder Gruppenmitgliedschaften zu bestellen oder um Verantwortlichkeiten zu delegieren. Alle aktiven Personen werden automatisch Kunden dieses Shops und sind somit bestellberechtigt. Aufbau des Standardshops Identity Lifecycle Sie können den Shop Identity Lifecycle nutzen, um die Standardprodukte zu bestellen. Um beliebige andere Unternehmensressourcen im Web Portal bestellen zu können, können Sie den Standardshop um eigene Regale erweitern oder eine eigeneit Shop-Lösung einrichten. Um den Shop Identity Lifecycle zu nutzen 1. Aktivieren Sie den Konfigurationsparameter QER\ITSHOP. In der Standardinstallation ist der Konfigurationsparameter aktiviert und der IT Shop ist verfügbar. Ist der Konfigurationsparameter nicht aktiviert, dann aktivieren Sie den Konfigurationsparameter im Designer und kompilieren Sie die Datenbank. 2. Installieren und konfigurieren Sie das Web Portal. Die Produkte werden mit dem Web Portal bestellt, verlängert und abbestellt. Autorisierte Personen haben die Möglichkeit, Bestellungen und Abbestellungen zu genehmigen. Weitere Informationen erhalten Sie im Web Portal Installation Guide und in der Web Portal Anwenderdokumentation. Um den Shop Identity Lifecycle kundenspezifisch zu erweitern 1. Richten Sie weitere Regale ein. Informationen erhalten Sie im Abschnitt Bearbeiten des IT Shops auf Seite 96. 2. Bereiten Sie Unternehmensressourcen zur Bestellung vor. Informationen erhalten Sie im Abschnitt Vorbereitung der Produkte zur Bestellung auf Seite 17. 3. Weisen Sie bestellbare Produkte an die Regale zu. Informationen erhalten Sie im Abschnitt Zuweisen und Entfernen der Produkte auf Seite 40. 4. Richten Sie Genehmigungsverfahren ein. 15

Quest One Identity Manager In der Standardinstallation sind dem Shop Identity Lifecycle verschiedene Standard-Entscheidungsrichtlinien zugewiesen. Damit durchlaufen die Bestellungen aus diesem Shop vordefinierte Genehmigungsverfahren. Zur Einrichtung kundenspezifischer Genehmigungsverfahren lesen Sie den Abschnitt Genehmigungsverfahren für IT Shop-Bestellungen auf Seite 44. Um eine eigene IT Shop-Lösung einzurichten 1. Aktivieren Sie den Konfigurationsparameter QER\ITSHOP. In der Standardinstallation ist der Konfigurationsparameter aktiviert und der IT Shop ist verfügbar. Ist der Konfigurationsparameter nicht aktiviert, dann aktivieren Sie den Konfigurationsparameter im Designer und kompilieren Sie die Datenbank. 2. Richten Sie Shops, Regale und Kundenknoten ein. Informationen erhalten Sie im Abschnitt Bearbeiten des IT Shops auf Seite 96. 3. Bereiten Sie Unternehmensressourcen zur Bestellung vor. Informationen erhalten Sie im Abschnitt Vorbereitung der Produkte zur Bestellung auf Seite 17. 4. Weisen Sie bestellbare Produkte an den IT Shop zu. Informationen erhalten Sie im Abschnitt Zuweisen und Entfernen der Produkte auf Seite 40. 5. Richten Sie Genehmigungsverfahren ein. Informationen erhalten Sie im Abschnitt Genehmigungsverfahren für IT Shop-Bestellungen auf Seite 44. 6. Installieren und konfigurieren Sie das Web Portal. Die Produkte werden mit dem Web Portal bestellt, verlängert und abbestellt. Autorisierte Personen haben die Möglichkeit, Bestellungen und Abbestellungen zu genehmigen. Weitere Informationen erhalten Sie im Web Portal Installation Guide und in der Web Portal Anwenderdokumentation. Bestellbare Produkte Bestellbare Produkte im IT Shop sind Unternehmensressourcen wie Zielsystemgruppen, Applikationen oder Nicht-IT Ressourcen, sobald sie einem Regal zugewiesen sind. Folgende Unternehmensressourcen können Sie als bestellbare Produkte an Regale zuweisen. Systemberechtigungen des Unified Namespace Zur Einrichtung von Systemberechtigungen lesen Sie den Abschnitt Systemberechtigungen im Unified Namespace auf Seite 223 im Handbuch Identity Management. Active Directory Gruppen Zur Erstellung von Active Directory Gruppen lesen Sie den Abschnitt Erfassen der Stammdaten für Active Directory Gruppen auf Seite 362 im Handbuch Identity Management. SharePoint Gruppen Zur Erstellung von SharePoint Gruppen lesen Sie den Abschnitt SharePoint Gruppen auf Seite 511 im Handbuch Identity Management. SharePoint Rollen Zur Anpassung von SharePoint Rollen lesen Sie den Abschnitt SharePoint Rollen und Berechtigungsstufen auf Seite 517 im Handbuch Identity Management. Lotus Notes Gruppen Zur Erstellung von Lotus Notes Gruppen lesen Sie den Abschnitt Notes Gruppen auf Seite 592 im Handbuch Identity Management. LDAP Gruppen Zur Erstellung von LDAP Gruppen lesen Sie den Abschnitt LDAP Gruppen auf Seite 791 im Handbuch Identity Management. SAP Gruppen, SAP Rollen und SAP Profile Zur Anpassung der SAP Gruppen, SAP Rollen und SAP Profile lesen Sie den Abschnitt Verwalten 16

Einrichten einer IT Shop-Lösung von SAP Gruppen, Rollen und Profilen auf Seite 673 im Handbuch Identity Management. Strukturelle Profile Zur Anpassung von strukturellen Profilen lesen Sie den Abschnitt Verwalten von strukturellen Profilen auf Seite 688 im Handbuch Identity Management. BI Analyseberechtigungen Zur Anpassung von BI Analyseberechtigungen lesen Sie den Abschnitt Verwalten von BI Analyseberechtigungen auf Seite 694 im Handbuch Identity Management. EBS Berechtigungen Zur Erstellung von EBS Berechtigungen lesen Sie den Abschnitt Verwalten von EBS Berechtigungen auf Seite 755 im Handbuch Identity Management. Applikationen Zur Erstellung von Applikationen lesen Sie den Abschnitt Einrichten von Applikationen auf Seite 183 im Handbuch Service Management. Ressourcen Zur Erstellung von Ressourcen lesen Sie den Abschnitt Ressourcen bearbeiten auf Seite 166 im Handbuch Identity Management. Benutzerkontenressourcen Zur Erstellung von Benutzerkonten über Benutzerkontenressourcen lesen Sie den Abschnitt Erzeugen von Benutzerkonten über Benutzerkontenressourcen auf Seite 50 im Handbuch Identity Management. Systemrollen Zum Einrichten von Systemrollen lesen Sie den Abschnitt Systemrollen bearbeiten auf Seite 172 im Handbuch Identity Management. Zuweisungsressourcen Mit dem Identity Manager können auch Rollen, wie Abteilungen oder Geschäftsrollen, über den IT Shop bestellt werden. Damit können beliebige Zuweisungen zu Rollen oder die Delegierung von Verantwortlichkeiten über IT Shop-Bestellungen realisiert werden. Um diese Verfahren zu realisieren, benötigen Sie spezielle Zuweisungsressourcen. Weitere Informationen erhalten Sie im Abschnitt Zuweisungsbestellung und Delegierung auf Seite 35. Abonnierbare Berichte Zum Einrichten von abonnierbaren Berichten lesen Sie den Abschnitt Einfügen abonnierbarer Berichte auf Seite 982 im Handbuch Identity Management. Vorbereitung der Produkte zur Bestellung Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Damit Sie Unternehmensressourcen als bestellbare Produkte an Regale zuweisen können, müssen die Unternehmensressourcen die folgenden Voraussetzungen erfüllen: Die Unternehmensressource muss mit der Option <IT Shop> gekennzeichnet sein. Der Unternehmensressource muss eine Leistungsposition zugeordnet sein. Dadurch kann die Bestellung der Unternehmensressource abgerechnet werden. Soll die Unternehmensressource nur über IT Shop-Bestellungen an Personen zugewiesen werden können, muss die Unternehmensressource zusätzlich mit der Option <Verwendung nur im IT Shop> gekennzeichnet sein. Eine direkte Zuweisung der Unternehmensressourcen an Rollen außerhalb des IT Shops ist dann nicht mehr zulässig. Alle Systemberechtigungen, Applikationen und Ressourcen können Sie im Identity Manager in der Kategorie <Berechtigungen> oder im Manager in der Kategorie <Ressourcen & Gruppen> zur Bestellung 17

Quest One Identity Manager vorbereiten. Zielsystemberechtigungen bereiten Sie im Manager in der Kategorie <Ressourcen & Gruppen> zur Bestellung vor. Produkt zur Bestellung vorbereiten am Beispiel einer Ressource 1. Aktivieren die Option <IT Shop>. 2. Ordnen Sie eine Leistungsposition zu. Neue Leistungspositionen können Sie über die Schaltfläche neben dem Eingabefeld <Leistungsposition> anlegen. Weitere Eigenschaften erfassen Sie auf dem Stammdatenformular der Leistungsposition. Lesen Sie dazu den Abschnitt Erfassen von Leistungspositionen auf Seite 19. Bei der Bestellung eines Produktes wird immer die Bezeichnung seiner Leistungsposition angezeigt. Wenn Sie aus ein und demselben Regal Leistungspositionen bestellen, die verschiedenen Produkten zugeordnet sind, wird nur eines dieser Produkte zugewiesen. Der Besteller kann nicht zwischen den verschiedenen Produkten auswählen. Legen Sie daher für jedes Produkt eine separate Leistungsposition an! Produkte des IT Shops sind in der Regel nur einmal bestellbar. Um Produkte mehrfach zu bestellen, sind weitere Vorbereitungen erforderlich. Lesen Sie dazu den Abschnitt Mehrfach bestellbare Produkte auf Seite 30. Der Kunde behält ein bestelltes Produkt in der Regel bis zu dem Zeitpunkt, an dem er es selbst wieder abbestellt. Bisweilen werden Produkte jedoch nur für eine bestimmte Zeitspanne benötigt und könnten nach dieser Zeitspanne automatisch abbestellt werden. Um Produkte zeitlich begrenzt zur Verfügung zu stellen, sind weitere Vorbereitungen erforderlich. Lesen Sie den Abschnitt Produkte für zeitlich begrenzte Bestellungen auf Seite 31. Soll ein Produkt zu einem späteren Zeitpunkt nicht mehr im IT Shop bestellbar sein, aktivieren Sie an der Leistungsposition die Option <Nicht bestellbar>. Bestehende Bestellungen des Produktes bleiben erhalten, es können jedoch keine neuen Bestellungen für dieses Produkt ausgelöst werden. 18

Einrichten einer IT Shop-Lösung Erfassen von Leistungspositionen Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Damit Unternehmensressourcen als bestellbare Produkte in den IT Shop aufgenommen werden können, muss ihnen eine Leistungsposition zugeordnet werden. Somit ist die Bestellung des Produkts abrechenbar. Leistungspositionen bearbeiten Sie in der Kategorie <IT Shop>/<Servicekatalog>. Allgemeine Stammdaten einer Leistungsposition Allgemeine Stammdaten für eine Leistungsposition Die allgemeinen Stammdaten einer Leistungsposition erfassen Sie auf dem Tabreiter <Allgemein>. Leistungsposition Bezeichnung der Leistungsposition. Spezielle Leistungsposition Dient ein Produkt einem speziellen Einsatzzweck, zum Beispiel als Sammelprodukt, dann kennzeichnen Sie es als spezielle Leistungsposition. Servicekategorie Sie können verschiedene Leistungspositionen zu Servicekategorien zusammenfassen. Über die Schaltfläche neben dem Eingabefeld können Sie eine neue Servicekategorie anlegen. Weitere Informationen zu Servicekategorien erhalten Sie im Abschnitt Erfassen von Servicekategorien auf Seite 27. Produkteigner Ordnen Sie eine Anwendungsrolle <IT Shop\Produkteigner> zu. 19

Quest One Identity Manager Produkteigner können in einem entsprechend definierten Genehmigungsverfahren innerhalb des IT Shops als Entscheider ermittelt werden. Sie dürfen über die Bestellung der Leistungsposition entscheiden. Lesen Sie dazu auch den Abschnitt Auswahl der verantwortlichen Entscheider auf Seite 57 im Handbuch IT Shop. Ist kein Produkteigner eingetragen, übernimmt der Identity Manager den Produkteigner der zugeordneten Servicekategorie. Attestierer Ordnen Sie eine Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Attestierer> zu. Die Mitglieder dieser Anwendungsrolle können als Attestierer in einem Attestierungsverfahren ermittelt werden. Lesen Sie dazu den Abschnitt Auswahl der verantwortlichen Attestierer auf Seite 899 im Handbuch Identity Management. Kostenstelle Kostenstelle, über die die Leistungsposition abgerechnet wird. Die Einrichtung von Kostenstellen ist im Handbuch Identity Management im Abschnitt Kostenstellen auf Seite 137. Hersteller Angabe zum Produkthersteller. Um Hersteller zu erfassen, lesen Sie den Abschnitt Partnerfirmen auf Seite 99. Bestellnummer, Artikelnummer, Artikelnummer (Fremd). Unternehmensspezifische Eigenschaften der Leistungsposition. Unternehmensbereich Unternehmensspezifische Eigenschaft der Leistungsposition. Wie Sie Unternehmensbereiche einrichten, erfahren Sie im Abschnitt Unternehmensbereiche auf Seite 129 im Handbuch Identity Management. Entscheidungsrichtlinie Entscheidungsrichtlinie, nach der die Entscheider ermittelt werden, wenn die Leistungsposition im IT Shop bestellt wird. Lesen Sie dazu den Abschnitt Ermitteln der wirksamen Entscheidungsrichtlinie auf Seite 56 im Handbuch IT Shop. Bestelleigenschaft Wählen Sie die Gruppierung, über die zusätzliche Eigenschaften für eine Bestellung definiert sind. Die Bestelleigenschaften werden im Web Portal, je nach Konfiguration, dem Besteller oder dem Entscheider angezeigt. Die Einrichtung von zusätzlichen Eigenschaften für Bestellungen ist im Abschnitt Erfassen produktspezifischer Bestelleigenschaften auf Seite 29 beschrieben. Berechnungsinformation Erfassen Sie den Kalkulationsmodus als Berechnungsinformation. Verfügbarkeit Unternehmensspezifische Information über die Verfügbarkeit der Leistungsposition. Reihenfolge Unternehmensspezifisches Kriterium zur Sortierung der Leistungspositionen. Webseite Webseite mit weiteren Informationen zur Leistungsposition. Über diese Angabe können Sie Produktbeschreibungen im Internet oder Ihrem Intranet mit der Leistungsposition verknüpfen. Die Webseite wird über die Aufgabe <Dokumentation anzeigen> im Standardwebbrowser geöffnet. Max. Tage gültig Frist für zeitlich begrenzte Zuweisungen über den IT Shop. Nach Ablauf der Frist, wird die Leistungsposition automatisch abbestellt. Lesen Sie dazu auch den Abschnitt Produkte für zeitlich begrenzte Bestellungen auf Seite 31. Beschreibung Umfassende Beschreibung der Leistungsposition. Zuweisung der Leistungsposition bleibt bei Umzug bestehen. Gibt an, ob die Zuweisung dieser Leistungsposition beim Wechsel eines Kunden in einen anderen Shop oder ein anderes Shoppingcenter erhalten bleibt. Lesen Sie dazu auch den Abschnitt Produktbestellung bei Wechsel des Kunden in einen anderen Shop auf Seite 32. 20

Einrichten einer IT Shop-Lösung Mehrfachbestellung möglich Gibt an, ob eine Leistungsposition mehrfach bestellbar ist. Lesen Sie dazu den Abschnitt Mehrfach bestellbare Produkte auf Seite 30. Mehrfachbestellung abbestellbar Gibt an, ob eine mehrfach bestellbare Leistungsposition durch den Kunden abbestellt werden kann. Lesen Sie dazu den Abschnitt Mehrfach bestellbare Produkte auf Seite 30. Nicht bestellbar Gibt an, ob die Leistungsposition weiterhin im IT Shop bestellbar ist. Ist die Option aktiviert, können keine neuen Bestellungen der Leistungsposition ausgelöst werden. Bestehende Bestellungen bleiben erhalten. Erweiterte Stammdaten einer Leistungsposition Auf dem Tabreiter <Kalkulation> erfassen Sie die erforderlichen Preisinformationen zur Abrechnung der Leistungsposition. Diese umfassen den Einkaufspreis, den Verkaufspreis, den internen Verrechnungspreis, die Währungsangabe und die anzuwendende Mehrwertsteuer. Zusätzlich können Sie Preise, die bei Vermietung des Produktes fällig werden, eintragen. Auf dem Tabreiter <Abbildung> importieren Sie ein Bild zu dieser Leistungsposition in die Datenbank. Dazu wählen Sie den Pfad, in dem die Abbildung zu finden ist, aus. Auf dem Tabreiter <Benutzerdefiniert> erfassen Sie zusätzliche unternehmensspezifische Informationen zu einer Leistungsposition. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder (standardmäßig <Freies Feld Nr. 01> bis <Freies Feld Nr. 10>) können Sie mit dem Designer an Ihre Anforderungen anpassen. Standard-Leistungspositionen Der Identity Manager liefert standardmäßig Leistungspositionen aus. Diese Leistungspositionen sind dem Shop Identity Lifecycle zugewiesen. Sie können als Standardprodukte über das Web Portal bestellt werden. Um Standard-Leistungspositionen zu bearbeiten Wählen Sie die Kategorie IT Shop Servicekatalog Vordefiniert. Zusätzliche Aufgaben zur Verwaltung von Leistungspositionen Nachdem Sie die Stammdaten der Leistungsposition erfasst haben, können Sie verschiedene Aufgaben auf die Leistungsposition anwenden. Die wichtigsten Informationen erhalten Sie über das Überblicksformular. Über die Aufgabenansicht stehen verschiedene Formulare zur Verfügung, mit denen Sie die folgenden Aufgaben ausführen können. Produktabhängigkeiten für Bestellungen bearbeiten Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> oder <Request & Fulfillment>\<IT Shop>\<Produkteigner> Manager Abhängigkeiten zwischen Produkten werden bei Bestellungen über den Web Portal berücksichtigt. Lesen Sie dazu den Abschnitt Festlegen von Abhängigkeiten zwischen Produkten auf Seite 23. 21

Quest One Identity Manager Zu Unternehmensbereichen, Geschäftsrollen und Organisationen zuweisen Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> (nur für Unternehmensbereiche) Manager Mit dem Identity Manager können Sie Regeln erstellen, um das Risiko von Zuweisungen zu bewerten. Die Bewertungen können nach Rollen und Unternehmensbereichen getrennt ausgewertet werden. Voraussetzung dafür ist, dass die Leistungspositionen an Rollen oder Unternehmensbereiche zugewiesen sind. Dafür nutzen Sie die Aufgaben <Geschäftsrollen und Organisationen zuweisen> und <Unternehmensbereichen zuweisen>. Zusatzeigenschaften zuweisen Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> oder <Request & Fulfillment>\<IT Shop>\<Produkteigner> Manager Zusatzeigenschaften sind Meta-Objekte, für die es im Identity Manager-Datenmodell keine direkte Abbildung gibt, wie beispielsweise Buchungskreise, Kostenverrechnungskreise oder Kostenstellenbereiche. Die Zusatzeigenschaften werden bei der Überprüfung von Complianceregeln eingesetzt. Weitere Informationen erhalten Sie im Abschnitt Einrichten von Zusatzeigenschaften auf Seite 798. Dokumentation anzeigen Werkzeuge: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> oder <Request & Fulfillment>\<IT Shop>\<Produkteigner> Manager Sie können Produktbeschreibungen im Internet oder Ihrem Intranet mit der Leistungsposition verknüpfen. Mit der Aufgabe <Dokumentation anzeigen> öffnen Sie die auf dem Stammdatenformular im Eingabefeld <Webseite> angegebene Webseite. Produkt wechseln Werkzeuge: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Über die Aufgabe ersetzen Sie zu einem bestimmten Zeitpunkt ein Produkt durch ein anderes Produkt. Lesen Sie dazu den Abschnitt Wechseln eines Produktes auf Seite 42. Schlagwort zuweisen Werkzeuge: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Produkteigner> Manager Mit dieser Aufgabe können Sie Schlagworte an Leistungspositionen zuweisen und neue Schlagworte anlegen. Um Schlagworte an eine Leistungsposition zuzuweisen 1. Wählen Sie eine Leistungsposition aus. 2. Führen Sie die Aufgabe Schlagwort zuweisen aus. 22

Einrichten einer IT Shop-Lösung 3. Doppelklicken Sie auf dem Zuweisungsformular auf die Stichworte, die der Leistungsposition zugewiesen werden sollen. 4. Speichern Sie die Änderungen. Um ein Schlagwort für eine Leistungsposition anzulegen 1. Wählen Sie eine Leistungsposition aus. 2. Führen Sie die Aufgabe Schlagwort zuweisen aus. 3. Führen Sie die Aufgabe Schlagwort erstellen... aus. 4. Erfassen Sie das Schlagwort und eine Beschreibung für das Schlagwort. 5. Um das Schlagwort zu speichern, klicken Sie OK. Das neue Schlagwort wird auf dem Zuweisungsformular angezeigt. 6. Um das Schlagwort an die ausgewählte Leistungsposition zuzuweisen, doppelklicken Sie auf dem Zuweisungsformular auf das Stichwort. 7. Speichern Sie die Änderung. Sie können weitere Eigenschaften für ein Schlagwort erfassen. Lesen Sie dazu den Abschnitt Erfassen von Schlagworten auf Seite 33. Festlegen von Abhängigkeiten zwischen Produkten Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> oder <Request & Fulfillment>\<IT Shop>\<Produkteigner> Manager Für Produkte können Sie Abhängigkeiten festlegen. So kann beispielsweise bei der Bestellung eines Druckers die Bestellung einer Installationspauschale zwingend erforderlich sein, während die zusätzliche Bestellung eines Toners optional möglich ist. Die Abhängigkeiten zwischen bestellbaren Produkten werden über ihre Leistungspositionen hergestellt. 1. Wählen Sie die Leistungsposition des gewünschten Produktes aus. 2. Legen Sie die Abhängigkeiten über das Formular <Produktabhängigkeiten für Bestellungen bearbeiten> fest. Auf dem Tabreiter <Untergeordnete Leistungspositionen> legen Sie für die ausgewählte Leistungsposition die abhängigen Produkte fest. Auf dem Tabreiter <Übergeordnete Leistungspositionen> legen Sie für die ausgewählte Leistungsposition fest, für welche Leistungspositionen sie das abhängige Produkt ist. Abhängige Produkte PRODUKTABHÄNGIGKEIT BESTELLTES PRODUKT ABHÄNGIGE PRODUKTE Untergeordnete Leistungspositionen Übergeordnete Leistungspositionen ausgewählte Leistungsposition eine der zugeordneten übergeordneten Leistungspositionen alle zugeordneten untergeordneten Leistungspositionen ausgewählte Leistungsposition 3. Speichern Sie die Abhängigkeiten. 23

Quest One Identity Manager 4. Wechseln Sie über das Kontextmenü <Erweiterte Eigenschaften> zum Detailformular. 5. Legen Sie die Bedingungen für die Abhängigkeit fest. Wechsel zum Detailformular der Zuweisung Zur Auswahl stehen die folgenden Optionen: Produkt darf nicht mitbestellt werden Produkt muss zwingend mitbestellt werden Produkt kann wahlweise mitbestellt werden Bei Bestellung des Produktes wird überprüft, ob definierte Abhängigkeiten vorhanden sind. Ist dieses der Fall, werden die abhängigen Produkte automatisch in die Bestellung übernommen. Die Option <Produkt darf nicht mitbestellt werden> verhindert, dass das abhängige Produkt durch dieselbe Bestellung erworben wird. Durch eine separate, direkte Bestellung kann das Produkt jederzeit zugewiesen werden. Berichte über Leistungspositionen Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> oder <Request & Fulfillment>\<IT Shop>\<Produkteigner> Manager Der Identity Manager stellt verschiedene Berichte zur Verfügung, in denen Informationen über das ausgewählte Basisobjekt und seine Beziehungen zu anderen Objekten der Identity Manager-Datenbank aufbereitet sind. Für Leistungspositionen stehen folgende Berichte zur Verfügung. Übersicht aller Zuweisungen Der Bericht zeigt alle Personen, denen die ausgewählte Leistungsposition zugewiesen ist. Dabei werden die Leistungspositionen berücksichtigt, die die Personen als Produkte im IT Shop bestellt haben. Der Bericht stellt dar, in welchen Rollen einer Rollenklasse diese Personen Mitglied sind. Personen, die in 24

Einrichten einer IT Shop-Lösung keiner Rolle Mitglied sind, werden in diesem Bericht nicht berücksichtigt. Sie erhalten damit Organigramme der verschiedenen Rollenklassen mit Bezug auf die ausgewählte Leistungsposition. Bericht Übersicht aller Zuweisungen für eine Leistungsposition Über die Schaltfläche <Verwendet von> in der Symbolleiste des Berichts wählen Sie die Rollenklasse aus, deren Personenzuweisungen Sie anzeigen möchten. Mit einem einfachen Mausklick auf ein Steuerelement im Bericht werden alle Personen angezeigt, die die ausgewählte Leistungsposition besitzen und die Mitglied in der ausgewählten Rolle sind. Die Bedeutung der verschiedenen Steuerelemente im Bericht ist im Abschnitt Bericht zur Übersicht aller Zuweisungen auf Seite 179 im Handbuch Erste Schritte beschrieben. Über den kleinen Pfeil am rechten Rand der Steuerelemente starten sie einen Assistenten, mit dem Sie die Liste der angezeigten Personen zur Nachverfolgung speichern können. Personen zur Nachverfolgung merken Dafür wird eine neue Geschäftsrolle angelegt, der diese Personen zugewiesen werden. Die Geschäftsrolle kann nur angelegt werden, wenn Sie am Manager angemeldet sind. 25

Quest One Identity Manager Assistent zur Nachverfolgung von Personenzuweisungen Für die Geschäftsrolle erfassen Sie folgende Daten: Geschäftsrolle Der Name der Geschäftsrolle wird automatisch aus der ausgewählten Leistungsposition und der ausgewählten Rolle gebildet. Sie können den Namen beliebig ändern. Rollenklasse Wählen sie eine Rollenklasse aus, der die Geschäftsrolle zugeordnet werden soll. In der Auswahlliste erscheinen alle unternehmensspezifisch definierten Rollenklassen, für die Personenzuweisung erlaubt ist. Nach dem Speichern kann die Rollenklasse nicht mehr geändert werden. Übergeordnete Geschäftsrolle Die neue Geschäftsrolle kann einer vorhandenen Geschäftsrolle der ausgewählten Rollenklasse untergeordnet werden. Interner Name Zusätzliche interne Bezeichnung für die Geschäftsrolle. Beschreibung Ausführliche Beschreibung der Geschäftsrolle. Über die Schaltfläche <Ok> speichern Sie die Geschäftsrolle und schließen den Assistenten. Der Identity Manager fragt nach, ob Sie die Geschäftsrolle sofort anzeigen möchten. Wenn Sie die Nachfrage über die Schaltfläche <Ja> bestätigen, können Sie weitere Stammdaten zu der neu angelegten Geschäftsrolle erfassen. Wollen Sie die Geschäftsrolle nicht oder zu einem späteren Zeitpunkt bearbeiten, schließen Sie das Meldungsfenster über die Schaltfläche <Nein>. 26

Einrichten einer IT Shop-Lösung Erfassen von Servicekategorien Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Einzelne Leistungspositionen können Sie zu Servicekategorien zusammenfassen und damit einen Servicekatalog erstellen. Durch kundenspezifische Bildungsregeln können die benötigten Preisinformationen auf die einzelnen Leistungspositionen abgebildet werden. Beispiel für einen Servicekatalog Servicekategorien bearbeiten Sie im in der Kategorie <IT Shop>/<Basisdaten zur Konfiguration>/ <Servicekategorien> oder in der Kategorie <IT Shop>/<Servicekatalog>. Allgemeine Stammdaten für eine Servicekategorie Zu einer Servicekategorie erfassen Sie folgende Stammdaten: Servicekategorie Bezeichnung der Servicekategorie Spezielle Servicekategorie Gibt an, ob die Servicekategorie einem speziellen Einsatzzweck dient. Übergeordnete Servicekategorie Wenn Sie Servicekategorien hierarchisch strukturieren wollen, wählen Sie eine übergeordnete Servicekategorie aus der Auswahlliste aus. Produkteigner Ordnen Sie eine Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Produkteigner> zu. Produkteigner können in einem entsprechend definierten Genehmigungsverfahren innerhalb des IT Shops als Entscheider ermittelt werden. Sie dürfen über die Bestellung der Leistungs- 27

Quest One Identity Manager positionen entscheiden, die der Servicekategorie zugewiesen sind. Lesen Sie dazu auch den Abschnitt Auswahl der verantwortlichen Entscheider auf Seite 57. Attestierer Ordnen Sie eine Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Attestierer> zu. Die Mitglieder dieser Anwendungsrolle können als Attestierer in einem Attestierungsverfahren ermittelt werden. Lesen Sie dazu den Abschnitt Auswahl der verantwortlichen Attestierer auf Seite 899 im Handbuch Identity Management. Entscheidungsrichtlinie Entscheidungsrichtlinie, nach der die Entscheider ermittelt werden, wenn eine Leistungsposition mit dieser Servicekategorie im IT Shop bestellt wird. Lesen Sie dazu den Abschnitt Ermitteln der wirksamen Entscheidungsrichtlinie auf Seite 56. Bestelleigenschaft Wählen Sie die Gruppierung, über die zusätzliche Eigenschaften für eine Bestellung definiert sind. Die Bestelleigenschaften werden im Web Portal, je nach Konfiguration, dem Besteller oder dem Entscheider angezeigt. Die Einrichtung von zusätzlichen Eigenschaften für Bestellungen ist im Abschnitt Erfassen produktspezifischer Bestelleigenschaften auf Seite 29 beschrieben. Einkaufspreis, Verkaufspreis, Interner Preis, Währung Erfassen Sie die erforderlichen Preisinformationen zur Abrechnung der Servicekategorie. Reihenfolge Unternehmensspezifisches Kriterium zur Sortierung der zugewiesenen Leistungspositionen. Beschreibung Umfassende Beschreibung der Servicekategorie. Auf dem Tabreiter <Abbildung> importieren Sie ein Bild zu der Servicekategorie in die Datenbank. Dazu wählen Sie den Pfad, in dem die Abbildung zu finden ist, aus. Um zusätzliche unternehmensspezifische Informationen zu einer Servicekategorie zu erfassen, nutzen Sie die Eingabefelder für benutzerdefinierten Eigenschaften auf dem Tabreiter <Benutzerdefiniert>. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder (standardmäßig <Freies Feld Nr. 01> bis <Freies Feld Nr. 10>) können Sie mit dem Designer anpassen. Standard-Servicekategorien Der Identity Manager liefert standardmäßig Servicekategorien aus. Diese Servicekategorien bilden die Standard-Leistungspositionen im Servicekatalog ab. Um Standard-Servicekategorien zu bearbeiten Wählen Sie die Kategorie IT Shop Basisdaten zur Konfiguration Servicekategorien Vordefiniert. Zusätzliche Aufgaben zur Verwaltung von Servicekategorien Nachdem Sie die Stammdaten der Servicekategorie erfasst haben, können Sie verschiedene Aufgaben auf die Servicekategorie anwenden. Die wichtigsten Informationen erhalten Sie über das Überblicksformular. Leistungsposition zuweisen Über die Aufgabe <Leistungsposition zuweisen> weisen Sie der Servicekategorie beliebige Leistungspositionen zu. 28

Einrichten einer IT Shop-Lösung Erfassen produktspezifischer Bestelleigenschaften Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Bei der Bestellung von Produkten im Web Portal können dynamisch produktspezifische Bestelleigenschaften abgefragt werden. Um produktspezifische Bestelleigenschaften zu nutzen, legen Sie zunächst fest, welche Eigenschaften, für welches Produkt zulässig sind. Bestelleigenschaften können Sie den Leisungspositionen oder den Servicekategorien zuweisen. Bei der Bestellung eines Produktes werden die Bestelleigenschaften der Leistungsposition angezeigt. Sind für die Leistungsposition keine zusätzlichen Bestelleigenschaften hinterlegt, dann werden die Bestelleigenschaften der Servicekategorie verwendet. Wie Sie Bestelleigenschaften einer Leistungsposition oder einer Servicekategorie zuweisen, lesen Sie in den Abschnitten Allgemeine Stammdaten einer Leistungsposition auf Seite 19 und Erfassen von Servicekategorien auf Seite 27. Zusätzliche Bestelleigenschaften bearbeiten Sie in der Kategorie <IT Shop>/<Basisdaten zur Konfiguration>\<Bestelleigenschaften>. Bearbeiten von Bestelleigenschaften Einzelne Bestelleigenschaften werden zusammengefasst. Für eine solche Gruppierung erfassen Sie folgende Stammdaten: Bezeichnung für die Bestelleigenschaften Mit dieser Bezeichnung können die Bestelleigenschaften an Leistungspositionen und Servicekategorien ausgewählt werden. ausführliche Beschreibung 29

Quest One Identity Manager Über die Schaltfläche <Hinzufügen> fügen Sie die einzelnen Bestelleigenschaften zu. Zu einer einzelnen Bestelleigenschaft erfassen Sie folgende Stammdaten: Spalte Wählen Sie eine Spalte, die als zusätzlicher Eigenschaft an einer Bestellung angegeben werden soll. Anzeigewert Mit dieser Bezeichnung wird die Bestelleigenschaft im Web Portal angezeigt. Für die sprachabhängige Verwendung der Bezeichnung übersetzen Sie diese über die Schaltfläche neben dem Eingabefeld. Reihenfolge Legen Sie fest, in welcher Reihenfolge die Bestelleigenschaften im Web Portal angezeigt werden. Pflichtparameter Setzen Sie die Option, wenn die Bestelleigenschaft zwingend bei der Bestellung eines Produktes angegeben werden muss. Nur Leserechte Wenn Sie diese Option setzen, wird die Bestelleigenschaft nur angezeigt und ist nicht bearbeitbar. Bearbeitbar für den Entscheider Setzen Sie die Option, wenn die Bestelleigenschaft durch Besteller und Entscheider bearbeitbar sein soll. Ist die Option nicht gesetzt, kann nur der Besteller diese Bestelleigenschaft bearbeiten. Bedingung Für die Spalten Abteilung und Kostenstelle können die Werte, die im Web Portal auswählbar sind, über eine Bedingung weiter eingeschränkt werden. Bestelleigenschaften kopieren Über die Aufgabe <Kopie erstellen> können Sie eine Kopie der ausgewählten Bestelleigenschaften erzeugen. Es wird ein Dialogfenster geöffnet, auf dem Sie einen Namen für die Kopie angeben. Die Kopieraktion starten Sie über die Schaltfläche <Ok>. Über die Schaltfläche <Abbrechen> brechen Sie die Aktion ab. In beiden Fällen wird das Dialogfenster geschlossen. Die Kopie können Sie anschließend umbenennen und weiter bearbeiten. Mehrfach bestellbare Produkte Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Die Produkte des IT Shops sind in der Regel nur einmal bestellbar. Ist ein Produkt dem Kunden zugewiesen, kann er das Produkt nicht ein zweites Mal bestellen. Unter Umständen ist es jedoch erforderlich ein Produkt mehrfach zu bestellen. So kann die Bestellung von Dienstleistungen, wie beispielsweise die Bestellung von Speichererweiterungen mehrfach notwendig sein. So bereiten Sie Produkte für die Mehrfachbestellung vor: 1. Wählen Sie die Leistungsposition in der Kategorie <IT Shop>/<Servicekatalog>/<Bestellbare Leistungspositionen> aus. 2. Kennzeichnen Sie die Leistungsposition des Produktes zur Mehrfachbestellung. Dazu stehen zwei Optionen zur Verfügung. Mehrfachbestellung möglich 30

Einrichten einer IT Shop-Lösung Wird ein mehrfach bestellbares Produkt im IT Shop bestellt und genehmigt, dann wird dieses intern sofort wieder abbestellt. Mehrfachbestellung abbestellbar Wird ein derart gekennzeichnetes Produkt im IT Shop bestellt und genehmigt, so wird dieses Produkt intern nicht sofort abbestellt. Die Abbestellung erfolgt durch den Kunden über den IT Shop. Leistungsposition für die mehrfache Bestellung kennzeichnen Produkte für zeitlich begrenzte Bestellungen Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Der Kunde behält ein bestelltes Produkt in der Regel bis zu dem Zeitpunkt, an dem er ihn selbst wieder abbestellt. Bisweilen werden Produkte jedoch nur für eine bestimmte Zeitspanne benötigt und könnten nach dieser Zeitspanne automatisch abbestellt werden. So kann beispielsweise die Mitgliedschaft in einer Zielsystemgruppe nur für den Zeitraum eines bestimmten Projektes notwendig sein. Produkte, die für eine zeitlich begrenzte Bestellung vorgesehen sind, kennzeichnen Sie mit einem Gültigkeitszeitraum. 31

Quest One Identity Manager So erfassen Sie einen Gültigkeitszeitraum für Produkte: 1. Wählen Sie die Leistungsposition in der Kategorie <IT Shop>/<Servicekatalog>/<Bestellbare Leistungspositionen> aus. 2. Tragen Sie im Eingabefeld Max. Tage gültig die Zeitspanne ein, für die das Produkt bestellt werden kann. Handelt es sich um ein mehrfach bestellbares Produkt, dann können Sie den Gültigkeitszeitraum nur angeben, wenn das Produkt auch wieder abbestellbar ist. Aus dem aktuellen Datum und dem Gültigkeitszeitraum berechnet der Identity Manager zum Zeitpunkt der Bestellung und Genehmigung das Datum, an dem das Produkt automatisch abbestellt wird. Leistungsposition für die zeitlich begrenzte Bestellung kennzeichnen Produktbestellung bei Wechsel des Kunden in einen anderen Shop Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Bestellt ein Kunde ein Produkt aus einem Shop und wechselt zu einem späteren Zeitpunkt den Shop oder das Shoppingcenter, dann wird die Produktbestellung geschlossen und das Produkt abbestellt. Um die Bestellung eines Produktes bei Umzug des Kunden zu erhalten, können Sie die Leistungsposition 32

Einrichten einer IT Shop-Lösung des Produktes mit der Angabe <Zuweisung der Leistungsposition bleibt bei Umzug bestehen> versehen. 1. Wählen Sie die Leistungsposition in der Kategorie <IT Shop>/<Servicekatalog>/<Bestellbare Leistungspositionen> aus. 2. Aktivieren Sie die Option Zuweisung der Leistungsposition bleibt bei Umzug bestehen. Kennzeichnung der Leistungsposition für den Umzug der Bestellung Erfassen von Schlagworten Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Produkteigner habe die Möglichkeit ihre Produkte mit Schlagworten zu versehen. Diese Schlagworte können bei Bestelllungen im Web Portal als Suchkriterium genutzt werden. Um Schlagworte anzulegen, haben Sie zwei Möglichkeiten. Um ein Schlagwort anzulegen oder zu bearbeiten 1. Wählen Sie die Kategorie IT Shop Basisdaten zur Konfiguration Schlagworte. 2. Wählen Sie in der Ergebnisliste ein Schlagwort aus und führen Sie die Aufgabe Stammdaten bearbeiten aus. 33

Quest One Identity Manager ODER Klicken Sie in der Ergebnisliste Neu. Das Stammdatenformular für ein Schlagwort wird geöffnet. 3. Bearbeiten Sie die Stammdaten des Schlagworts. 4. Speichern Sie die Änderungen. Überblick über ein Schlagwort Für ein Schlagwort erfassen Sie folgende Stammdaten. Schlagwort und Beschreibung für Schlagwort Kommentar Zusätzliche Informationen zum Schlagwort. Übergeordnetes Schlagwort Schlagwörter können hierarchisch organisiert werden. Ordnen Sie dafür ein übergeordnetes Schlagwort zu. Um ein Schlagwort direkt für ein Produkt anzulegen 1. Wählen Sie eine Leistungsposition aus. 2. Führen Sie die Aufgabe Schlagwort zuweisen aus. 3. Führen Sie die Aufgabe Schlagwort erstellen... aus. 4. Erfassen Sie das Schlagwort und eine Beschreibung für das Schlagwort. 5. Um das Schlagwort zu speichern, klicken Sie OK. Das neue Schlagwort wird auf dem Zuweisungsformular angezeigt. 6. Um das Schlagwort an die ausgewählte Leistungsposition zuzuweisen, doppelklicken Sie auf dem Zuweisungsformular auf das Schlagwort. 7. Speichern Sie die Änderung. Zusätzliche Aufgaben für Schlagworte Nachdem Sie die Stammdaten des Schlagworts erfasst haben, können Sie verschiedene Aufgaben auf das Schlagwort anwenden. Über die Aufgabenansicht stehen verschiedene Formulare zur Verfügung, mit denen Sie die folgenden Aufgaben ausführen können. 34

Einrichten einer IT Shop-Lösung Überblick über das Schlagwort Auf dem Überblicksformular erhalten Sie auf einen Blick die wichtigsten Informationen zu einem Schlagwort. Um einen Überblick über ein Schlagwort zu erhalten 1. Wählen Sie die Kategorie IT Shop Basisdaten zur Konfiguration Schlagworte. 2. Wählen Sie in der Ergebnisliste das Schlagwort aus. 3. Führen Sie die Aufgabe Überblick über das Schlagwort aus. Leistungspositionen zuweisen Damit Sie die Schlagworte im Web Portal als Suchbegriffe nutzen können, weisen Sie den Schlagworten Leistungspositionen zu. Das Web Portal ermittelt zu einem Schlagwort alle zugeordneten, bestellbaren Leistungspositionen. Um die Zuweisung von Leistungspositionen zu bearbeiten 1. Wählen Sie die Kategorie IT Shop Basisdaten zur Konfiguration Schlagworte. 2. Wählen Sie in der Ergebnisliste das Schlagwort aus. 3. Führen Sie die Aufgabe Leistungspositionen zuweisen aus. 4. Doppelklicken Sie im Bereich Zuordnungen hinzufügen auf die Leistungspositionen, die an das Schlagwort zugewiesen werden sollen. ODER Doppelklicken Sie im Bereich Zuordnungen entfernen auf die Leistungspositionen, deren Zuweisung entfernt werden soll. 5. Speichern Sie die Änderungen. Zuweisungsbestellung und Delegierung Mit dem Identity Manager können auch Rollen, wie Abteilungen oder Geschäftsrollen, über den IT Shop bestellt und an Personen zugewiesen werden. Damit können beliebige Zuweisungen über IT Shop-Bestellungen realisiert werden. Vorteil dieser Vorgehensweise ist, dass jegliche Zuweisungen über ein Genehmigungsverfahren autorisiert werden. Gleichermaßen unterliegen auch die Verlängerung einer Zuweisung und der Entzug von Zuweisungen einem Genehmigungsverfahren. Über die Bestellhistorie ist jederzeit nachvollziehbar, wer wann und warum welche Zuweisungen bestellt, verlängert oder abbestellt hat. Eine spezielle Form der Zuweisungsbestellung ist die Delegierung. Dabei kann eine Person eine Rollenzuordnung zeitweilig an andere Personen abgeben. Auch Delegierungen durchlaufen ein definiertes Genehmigungsverfahren. Für diese Zuweisungsbestellungen stellt der Identity Manager in der Standardinstallation im Shop Identity Lifecyle spezielle Produkte bereit. Zuweisungsbestellungen vorbereiten Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Für Zuweisungsbestellungen benötigen Sie separate Ressourcen, sogenannte Zuweisungsressourcen. In der Standardinstallation sind die Zuweisungsressourcen Mitgliedschaft in Geschäftsrollen und Be- 35

Quest One Identity Manager rechtigungszuordnung zu Geschäftsrollen bereits als Produkte im Shop Identity Lifecycle, im Regal Identity Lifecycle vorhanden. Diese Zuweisungsressourcen werden genutzt, um Mitgliedschaften in Geschäftsrollen und Organisationen und Zuweisungen von Systemberechtigungen oder Zielsystemgruppen an Geschäftsrollen und Organisationen zu bestellen. Sie können auch eigene Zuweisungsressourcen erstellen und dem Shop Identity Lifecycle oder einem beliebigen anderen Shop zuweisen. Lesen Sie dazu den Abschnitt Bestellen einzelner Geschäftsrollen auf Seite 36. Folgende Tabelle zeigt eine Übersicht aller Objekte, die über Zuweisungsressourcen bestellt werden können. Objekte für Zuweisungsbestellungen BESTELLEN VON Unternehmensressourcen Abteilung, Kostenstelle, Standort, Geschäftsrolle FÜR Abteilung, Kostenstelle, Standort, Geschäftsrolle Person Beispiel: Frau Spitze ist Projektleiterin des Projekts X. Damit alle Mitarbeiter des Projekts mit den notwendigen Berechtigungen versorgt werden, wird im Identity Manager eine Geschäftsrolle Projekt X angelegt. Damit Frau Spitze selbst Mitglied in der Geschäftsrolle Projekt X wird, bestellt sie im Web Portal für sich das Produkt Mitgliedschaft in Geschäftsrollen. Dabei wählt sie die Geschäftsrolle Projekt X als zu bestellendes Objekt aus. Des weiteren möchte Frau Spitze, dass alle Projektmitarbeiter Mitglied in der Active Directory Gruppe Projekt X AD-Berechtigungen werden. Dafür bestellt sie im Web Portal für die Geschäftsrolle Projekt X das Produkt Berechtigungszuordnung zu Geschäftsrollen. Sie wählt die Active Directory Gruppe Projekt X AD-Berechtigungen als zu bestellendes Objekt aus. Über interne Vererbungsvorgänge wird Frau Spitze damit Mitglied in der Active Directory Gruppe Projekt X AD-Berechtigungen. Damit alle Projektmitarbeiter diese Mitgliedschaft erhalten, bestellt Frau Spitze für jeden Mitarbeiter des Projekts im Web Portal das Produkt Mitgliedschaft in Geschäftsrollen. Dabei wählt sie die Geschäftsrolle Projekt X als zu bestellendes Objekt aus. Über interne Vererbungsvorgänge werden damit alle Mitarbeiter des Projekts Mitglied in der Active Directory Gruppe Projekt X AD-Berechtigungen. Bestellen einzelner Geschäftsrollen Es ist möglich, Zuweisungsbestellungen auf einzelne Geschäftsrollen einzuschränken. Dafür wird eine Zuweisungsressource für eine konkrete, bestellbare Geschäftsrolle erstellt. Bei der Bestellung der Zuweisungsressource ist es nicht mehr notwendig, die Geschäftsrolle zusätzlich auszuwählen. Sie ist automatisch Bestandteil der Bestellung. Darüber hinaus ist es möglich, für jede derart bestellbare Geschäftsrolle ein eigenes Genehmigungsverfahren zu definieren. Dafür werden den Leistungspositionen, die mit den Zuweisungsressourcen verbunden sind, separate Entscheidungsrichtlinien zugeordnet. Um Zuweisungsbestellungen auf eine einzelne Geschäftsrolle einzuschränken 1. Bearbeiten Sie die Stammdaten der Geschäftsrolle im Manager oder Identity Manager, in der Kategorie Geschäftsrollen <Rollenklasse>. Wählen Sie die gewünschte Geschäftsrolle aus 36

Einrichten einer IT Shop-Lösung der Ergebnisliste aus. 2. Führen Sie die Aufgabe Zuweisungsressource erzeugen... aus. Es wird ein Assistent gestartet, der Sie durch das Anlegen der Zuweisungsressource führt. a) Erfassen Sie eine Beschreibung und ordnen Sie einen Ressourcentyp zu. Es wird eine neue Zuweisungsressource mit den benutzerdefinierten Eigenschaften Tabelle = ORG und Pfad = <UID der Geschäftsrolle> angelegt. b) Erfassen Sie die Eigenschaften der Leistungsposition, die der Zuweisungsressource zugeordnet wird. Es wird eine neue Leistungsposition angelegt und mit der Zuweisungsressource verbunden. 3. Weisen Sie die Zuweisungsressource einem IT Shop Regal als Produkt zu. 4. Weisen Sie eine Entscheidungsrichtlinie zu. Siehe Abschnitte In IT Shop aufnehmen auf Seite 47, Allgemeine Stammdaten einer Leistungsposition auf Seite 19 oder Erfassen von Servicekategorien auf Seite 27. 5. Bei Bedarf können Sie die Stammdaten der Zuweisungsressource nachbearbeiten. Siehe Abschnitt Ressourcen bearbeiten auf Seite 166 im Handbuch Identity Management. 6. Bei Bedarf können Sie die Stammdaten der Leistungsposition nachbearbeiten. Siehe Abschnitt Erfassen von Leistungspositionen auf Seite 19. Zuweisungsressource für eine einzelne Geschäftsrolle Zuweisungsbestellungen unternehmensspezifisch anpassen Im Web Portal werden Zuweisungsbestellungen derzeit in folgenden Funktionalitäten genutzt. Der Manager einer Geschäftsrolle bestellt die Mitgliedschaft von Personen in seiner Geschäftsrolle. Der Manager einer Geschäftsrolle bestellt die Zuweisung von Unternehmensressourcen (beispielsweise einer Active Directory Gruppe) für seine Geschäftsrolle. Der Manager einer Organisation bestellt die Mitgliedschaft von Personen in seiner Organisation. Der Manager einer Organisation bestellt die Zuweisung von Unternehmensressourcen für seine Organisation. Für diese Zuweisungsbestellungen werden die Standard-Zuweisungsressourcen aus dem Standardshop Identity Lifecycle genutzt. Sie werden per Selbstbedienung automatisch genehmigt. Wenn die Zuweisungsbestellungen durch verantwortliche Entscheider genehmigt werden sollen, weisen Sie den Stan- 37

Quest One Identity Manager dard-zuweisungsressourcen geeignete Entscheidungsrichtlinien zu. Damit durchlaufen auch die Zuweisungsbestellungen ein definiertes Genehmigungsverfahren. Um Zuweisungsbestellungen durch verantwortliche Entscheider zu genehmigen: Weisen Sie den Leistungspositionen der Standard-Zuweisungressourcen separate Entscheidungsrichtlinien zu. Siehe Abschnitt Allgemeine Stammdaten einer Leistungsposition auf Seite 19. Mitunter sollen Zuweisungsbestellungen, abhängig vom bestellten Objekt, verschiedene Genehmigungsverfahren durchlaufen. Beispielsweise sollen Zuweisungen an Abteilungen durch den Manager der Abteilung, Mitgliedschaften in Abteilungen jedoch durch den Manager der Person genehmigt werden. Dafür können Sie eigene Zuweisungsressourcen definieren. Diese Zuweisungsressourcen können Sie an beliebige Regale in ihrem IT Shop zuweisen. Um diese Zuweisungsressourcen zu nutzen, sind weitere Anpassungen in der Web Designer Konfiguration notwendig. Um Zuweisungsbestellungen unternehmensspezifisch zu konfigurieren: 1. Erstellen Sie eine neue Zuweisungsressource im Identity Manager in der Kategorie Berechtigungen Ressourcen oder im Manager in der Kategorie Ressourcen & Gruppen Ressourcen. Wie Sie Zuweisungsressourcen erstellen, ist im Abschnitt Ressourcen bearbeiten auf Seite 166 im Handbuch Identity Management erläutert. 2. Bereiten Sie die Ressource für die Zuweisungsbestellung vor. a) Aktivieren Sie die Option Zuweisungsressource. Die Optionen <IT Shop> und <Nur für den IT Shop> werden automatisch aktiviert. b) Ordnen Sie eine neue Leistungsposition zu und aktivieren Sie an der Leistungsposition die Option Mehrfachbestellung möglich. c) Speichern Sie die Ressource. 3. Weisen Sie die Zuweisungsressource einem Shop als Produkt zu. Führen Sie dafür an der Ressource die Aufgabe In IT Shop aufnehmen aus. 4. Weisen Sie dem Regal oder der Leistungsposition der Zuweisungsressource eine Entscheidungsrichtlinie zu. Siehe Abschnitte Allgemeine Stammdaten einer Leistungsposition auf Seite 19, Erfassen von Servicekategorien auf Seite 27 oder Zusätzliche Aufgaben für Regale auf Seite 106. 5. Erstellen Sie im Web Designer ein Skript, das die Zuweisungsressource für die gewünschte Zuweisungsbestellung auswählt. Lesen Sie dafür das Web Designer Referenzhandbuch. 38

Einrichten einer IT Shop-Lösung Delegierungen vorbereiten Konfigurationsparameter für Delegierung KONFIGURATIONSPARAMETER QER\ITShop\Delegation BEDEUTUNG Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile zur Delegierung von Rollenmitgliedschaften. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren. Ist der Parameter aktiviert, sind die Bestandteile zur Delegierung verfügbar. Eine spezielle Form der Zuweisungsbestellung ist die Delegierung. Dabei kann eine Person eine Rollenzuordnung oder Verantwortung zeitweilig an andere Personen abgeben. Um Delegierungen im Identity Manager durchführen zu können, aktivieren Sie den Konfigurationsparameter QER\ITShop\Delegation und kompilieren anschließend die Datenbank. Auch Delegierungen durchlaufen ein definiertes Genehmigungsverfahren. Für Delegierungen benötigen Sie eine separate Zuweisungsressource Delegierung. Diese ist in der Standardinstallation bereits als Produkt im Shop Identity Lifecycle, im Regal Identity Lifecycle vorhanden. In der Standardinstallation sind folgende Objekte delegierbar. Delegierbare Objekte MITGLIEDSCHAFTEN IN Geschäftsrollen Identity Manager Anwendungsrollen VERANTWORTUNGEN FÜR Abteilungen Kostenstellen Standorte Geschäftsrollen Personen IT Shop Strukturen (Eigentümer) Welche der Mitgliedschaften delegierbar sind, können Sie über die Option <Delegierbar> an den zugehörigen Rollenklassen unternehmensspezifisch festlegen. Lesen Sie dazu den Abschnitt Rollenklassen auf Seite 127 im Handbuch Identity Management. Um Rollen oder Verantwortungen zu delegieren, nutzen Sie das Web Portal. Informationen zum Ablauf von Delegierungen erhalten Sie in der Web Portal Anwenderdokumentation. Zuweisungen und Delegierungen abbestellen Zuweisungen und Delegierungen können, wie alle anderen Produkte, über das Web Portal abbestellt werden. Das ist auch dann möglich, wenn an der Leistungsposition der Zuweisungsressource die Option <Mehrfachbestellung abbestellbar> nicht aktiviert ist. Delegierungen sollten Sie bereits bei der Bestellung zeitlich befristen. Diese Bestellungen werden mit Ablauf des Gültigkeitszeitraums automatisch abbestellt. Nähere Informationen dazu lesen Sie im Abschnitt Zeitlich begrenzte Bestellungen auf Seite 89 und in der Web Portal Anwenderdokumentation. 39

Quest One Identity Manager Entfernen eines Kunden aus einem Shop Wenn ein Kunde Zuweisungen über einen Shop bestellt hat oder Rollenmitgliedschaften delegiert hat und er zu einem späteren Zeitpunkt als Kunde aus dem Shop entfernt wird, dann wird die Zuweisungsbestellung geschlossen, die Zuweisung entzogen bzw. die Delegierung beendet. Um zu verhindern, dass Zuweisungen in diesem Fall entzogen werden, aktivieren Sie an der Zuweisungsressource die Option <Bestellte Zuweisungen bleiben bestehen> (siehe Abschnitt Ressourcen bearbeiten auf Seite 166 im Handbuch Identity Management). Ist der Besteller gleichzeitig Begünstigter der Bestellung (beispielsweise bei Bestellung einer Mitgliedschaft in einer Geschäftsrolle für den Besteller), wird die Zuweisung jedoch entzogen und die Zuweisungsbestellung geschlossen. Ebenso werden Delegierungen in jedem Fall beendet, wenn der Delegierende aus dem Kundenknoten gelöscht wird. Die Option hat auf Delegierungen keinen Einfluss. Die Zuweisung kann im Web Portal durch den Manager der Rolle abbestellt werden. Zuweisen und Entfernen der Produkte Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Nachdem Sie die Produkte für die Bestellung vorbereitet haben, weisen Sie diese an ein Regal oder eine Regalvorlage zu. An einem Regal stehen verschiedene Aufgaben zur Verfügung, um die Produkte zuzuweisen und wieder zu entfernen. Aufgaben zum Zuweisen und Entfernen von bestellbaren Produkten PRODUKTE Applikationen Ressourcen Systemrollen Unified Namespace Systemberechtigungen Active Directory Gruppen SharePoint Berechtigungen AUFGABE Applikationen zuweisen Ressourcen zuweisen Systemrollen zuweisen Systemberechtigungen zuweisen Active Directory Gruppen zuweisen SharePoint Gruppen zuweisen SharePoint Rollen zuweisen LDAP Gruppen Lotus Notes Gruppen SAP R 3 Berechtigungen LDAP Gruppen zuweisen Notes Gruppen zuweisen BI Analyseberechtigungen zuweisen SAP Gruppen zuweisen SAP Profile zuweisen SAP Rollen zuweisen Strukturelle Profile zuweisen EBS Berechtigungen EBS Berechtigungen zuweisen 40

Einrichten einer IT Shop-Lösung Zuweisen eines Produktes Um Produkte einem Regal zuzuweisen, stehen am Regal verschiedene Aufgaben zur Verfügung. Wie Sie ein Produkt zuweisen, ist im Folgenden am Beispiel einer Ressource beschrieben. Um ein Produkt dem Regal Identity Lifecycle zuzuweisen: 1. Wählen Sie im Shop Identity Lifecycle das Regal Identity Lifecycle aus. 2. Öffnen Sie über die Aufgabe <Ressource zuweisen> das Zuweisungsformular. 3. Wählen Sie im Bereich Zuordnungen hinzufügen die Ressource aus und weisen Sie diese per Mausklick-Doppelklick auf das Symbol oder über das Kontextmenü <Zuweisen> zu. 4. Speichern Sie die Zuweisung. Über die Vererbungsmechanismen des DBSchedulers und anschließende Prozessverarbeitung wird innerhalb des Regals für jedes zugewiesene Produkt ein separater Produktknoten erzeugt. Dieser Produktknoten trägt die Bezeichnung der Leistungsposition des Produktes. Entfernen eines Produktes Um Produkte aus einem Regal zu entfernen, stehen am Regal verschiedene Aufgaben zur Verfügung. Wie Sie ein Produkt entfernen, ist im Folgenden am Beispiel einer Ressource beschrieben. Um ein Produkt aus dem Regal Identity Lifecycle zu entfernen: 1. Wählen Sie im Shop Identity Lifecycle das Regal Identity Lifecycle aus. 2. Öffnen Sie über die Aufgabe <Ressource zuweisen> das Zuweisungsformular. 3. Wählen Sie im Bereich Zuordnungen entfernen die Ressource aus und entfernen Sie diese per Mausklick-Doppelklick auf das Symbol oder über das Kontextmenü <Entfernen>. 4. Speichern Sie die Änderung. Entfernen Sie ein Produkt aus einem Regal, dann wird der Produktknoten durch den DBScheduler aufgelöst. Beim Löschen eines Produktes werden offene Bestellungen dieses Produktes geschlossen, genehmigte Bestellungen werden abbestellt. Um ein Produkt aus allen Regalen zu entfernen: Führen Sie am Produkt die Aufgabe Entfernen aus allen Regalen aus. Die Aufgabe steht am Stammdatenformular des jeweiligen Produkts, beispielsweise einer Ressource, zur Verfügung. Durch die Aufgabe werden sofort die Zuordnungen des Produktes zu manuell eingerichteten Regalen und zu Regalvorlagen entfernt. Anschließend werden durch den DBScheduler die Zuordnungen des Produktes zu Regalen, die aufgrund einer Vorlagedefinition entstanden sind, entfernt. Wenn das Produkt Bestandteil von Zuweisungsbestellungen ist, werden alle Zuweisung abbestellt. Bei der Nutzung dieser Aufgabe sollten Sie Performanceüberlegungen in Betracht ziehen. 41

Quest One Identity Manager Verschieben eines Produktes in ein anderes Regal Werkzeuge: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Um ein Produkt in ein anderes Regal zu verschieben 1. Wählen Sie das Produkt im IT Shop Regal aus. 2. Führen Sie die Aufgabe <Produkt in ein anderes Regal verschieben...> aus. 3. Wählen Sie das neue Regal aus und bestätigen Sie mit <OK>. Vordefinierte Produkte können nicht verschoben werden. Wechseln eines Produktes Werkzeuge: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Ein Produkt kann zu einem definierten Zeitpunkt durch ein anderes Produkt ersetzt werden. Um ein Produkt durch ein anderes zu ersetzen: 1. Wählen Sie in der Kategorie <IT Shop>/<Servicekatalog> die Leistungsposition des Produktes aus, das ersetzt werden soll. 2. Führen Sie die Aufgabe <Produkt wechseln> aus. 3. Geben Sie die folgenden Daten ein und bestätigen Sie diese mit <OK>. Auslaufdatum Datum, an dem das Produkt durch ein anderes ersetzt wird. Alternatives Produkt Leistungsposition, die stattdessen bestellt werden kann. Alle Personen, die das Produkt bestellt haben, erhalten eine E-Mail Benachrichtigung. Die Konfiguration der Benachrichtigung ist im Abschnitt Ablauf einer befristeten Bestellung auf Seite 82 beschrieben. Bestellvorlagen Wenn Sie Produkte im Web Portal bestellen, wählen Sie die gewünschten Produkte aus einem Leistungskatalog aus und legen Sie zunächst in einen Einkaufswagen. Die Produkte bleiben solange im Einkaufswagen, bis Sie die Bestellung absenden. Um die Produktsammlung eines Einkaufswagens für weitere Bestellungen nutzen zu können, können Sie den gesamten Einkaufswagen oder einzelne Produkte daraus in einer Bestellvorlage speichern. Sie können jederzeit Produkte zu Bestellvorlagen hinzufügen oder daraus entfernen. Um Bestellvorlagen einzurichten nutzen Sie das Web Portal (sieheweb Portal Anwenderdokumentation) oder den Identity Manager. Wie Sie Bestellvorlagen mit dem Identity Manager einrichten, ist im Folgenden beschrieben. 42

Einrichten einer IT Shop-Lösung Bestellvorlagen bearbeiten Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Konfigurationsparameter für die Nutzung von Bestellvorlagen KONFIGURATIONSPARAMETER QER\ITShop\ShoppingCartPattern QER\ITShop\ShoppingCartPattern\AutoQualified BEDEUTUNG Der Konfigurationsparameter legt fest, ob Bestellvorlagen im IT Shop verwendet werden können. Der Konfigurationsparameter legt fest, ob öffentliche Bestellvorlagen automatisch als "Freigegeben" markiert werden oder durch einen Verantwortlichen manuell freigegeben werden müssen. Um Bestellvorlagen nutzen zu können, aktivieren Sie den Konfigurationsparameter QER\ITShop\ShoppingCartPattern. Bestellvorlagen erstellen Sie im Identity Manager in der Kategorie <IT Shop>\<Bestellvorlagen>. Auf dem Tabreiter <Allgemein> erfassen Sie die allgemeinen Stammdaten für Bestellvorlagen. Allgemeine Stammdaten für eine Bestellvorlage Auf dem Tabreiter <Allgemein> erfassen Sie die folgenden Stammdaten. Belegnummer Beliebige Zeichenfolge zur eindeutigen Identifikation der Bestellvorlage. Wenn Sie nichts erfassen, vergibt der Identity Manager beim Speichern automatisch eine Nummer. Bestellvorlage Name der Bestellvorlage. Kurzname, Bezeichnung Beliebige zusätzliche Bezeichnungen für die Bestellvorlage. Eigentümer Person, die die Vorlage erstellt, wird automatisch eingetragen. Der Wert kann beliebig geändert werden. Beschreibung Detaillierte Beschreibung der Bestellvorlage. Öffentliche Vorlage Ist die Option aktiviert, stellt der Eigentümer die Bestellvorlage allen Identity Manager-Benutzern zur Verfügung. 43

Quest One Identity Manager Freigegeben Ist die Option aktiviert, kann die Bestellvorlage von allen Identity Manager-Benutzern verwendet werden. Diese Option kann nur im Identity Manager durch Benutzer in der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> geändert werden. Wenn eine öffentliche Vorlage freigegeben ist und die Option Öffentliche Vorlage wird deaktiviert, wird die Option Freigegeben ebenfalls deaktiviert Ist der Konfigurationsparameter QER\ITShop\ShoppingCartPattern\AutoQualified aktiviert, werden Bestellvorlagen automatisch freigegeben, sobald die Option Öffentliche Vorlage aktiviert wird. Auf dem Tabreiter <Bestellpositionen> ordnen Sie der Bestellvorlage die Produkte zu. Ist noch kein Produkt vorhanden, klicken Sie die Schaltfläche <Einfügen>. Damit wird eine Auswahlliste eingeblendet, die alle Leistungspositionen enthält, deren Produkte mindestens einem Regal im IT Shop zugewiesen sind. Wählen Sie die gewünschte Leistungsposition aus und erfassen Sie im Eingabefeld <Menge> die Anzahl der zu bestellenden Produkte. Um die Werte dieses Eingabefeldes zu nutzen, passen Sie Ihren Web Portal unternehmensspezifisch an. Weitere Produkte fügen Sie über die Schaltfläche <Einfügen> neben der Auswahlliste hinzu. Bestellvorlagen löschen Um Bestellvorlagen zu löschen, nutzen Sie die entsprechenden Symbole in der Benutzeroberfläche des Identity Managers bzw. Managers. Jeder Eigentümer kann seine eigenen Bestellvorlagen im Web Portal löschen. Identity Manager-Benutzer mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> können die Bestellvorlagen aller Eigentümer löschen. Genehmigungsverfahren für IT Shop-Bestellungen Alle Bestellungen im IT Shop durchlaufen ein definiertes Genehmigungsverfahren. Während dieses Genehmigungsverfahrens entscheiden autorisierte Personen positiv oder negativ über die Zuweisung des Produktes. Diese Genehmigungsverfahren können Sie variabel gestalten und somit an Ihre unternehmensspezifischen Richtlinien anpassen. Für Genehmigungsverfahren definieren Sie Entscheidungsrichtlinien und Entscheidungsworkflows. In Entscheidungsrichtlinien legen Sie fest, welche Entscheidungsworkflows auf eine Bestellung angewendet werden sollen. Über Entscheidungsworkflows ermitteln Sie, welche Person, zu welchem Zeitpunkt einer Bestellung die Bestellung genehmigen oder ablehnen kann. Ein Entscheidungsworkflow kann mehrere Entscheidungsebenen und diese mehrere Entscheidungsschritte enthalten, wenn beispielsweise mehrere Hierarchien der Leitungsebene über eine Bestellung entscheiden müssen. In jedem Entscheidungsschritt werden über spezielle Entscheidungsverfahren die verantwortlichen Entscheider ermittelt. Entscheidungsrichtlinien werden im Identity Manager auch für Attestierungsvorgänge genutzt. Durch die Zuordnung von Entscheidungsworkflows zu den Entscheidungsrichtlinien legen Sie fest, ob diese nur für Attestierung oder nur für IT Shop-Bestellungen oder beides genutzt werden können. In der Standardinstallation sind dem Shop Identity Lifecycle verschiedene Standard-Entscheidungsrichtlinien zugewiesen. Damit durchlaufen die Bestellungen aus diesem Shop vordefinierte Genehmigungsverfahren. Sollen Bestellungen aus diesem Shop kundenspezifische Genehmigungsverfahren 44

Einrichten einer IT Shop-Lösung durchlaufen, weisen Sie dem Shop, dem Regal oder den Leistungspositionen des Regals Identity Lifecycle kundenspezifische Entscheidungsrichtlinien zu. Bearbeiten von Entscheidungsrichtlinien Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Entscheidungsrichtlinien bearbeiten Sie in der Kategorie <IT Shop>\<Basisdaten zur Konfiguration>\<Entscheidungsrichtlinien>. Entscheidungsrichtlinie erstellen Folgende Stammdaten erfassen Sie für eine Entscheidungsrichtlinie. Entscheidungsrichtlinie Bezeichnung der Entscheidungsrichtlinie Rollentyp Im Zusammenhang mit dem IT Shop können Sie Rollentypen nutzen, um die Vererbung von Entscheidungsrichtlinien innerhalb einer IT Shop-Lösung festzulegen. Lesen Sie dazu den Abschnitt Ermitteln der wirksamen Entscheidungsrichtlinie auf Seite 56. Die benötigten Rollentypen legen Sie in der Kategorie <IT Shop>\<Basisdaten zur Konfiguration>\<Rollentypen> an. Lesen Sie dazu den Abschnitt Rollentypen auf Seite 97. Priorität Numerisch ganze Zahl mit maximal einer Stelle. Für den Fall, dass nach den beschriebenen Regeln mehrere Entscheidungsrichtlinien gleichzeitig als gültig erkannt werden, wird anhand der Priorität entschieden, welche Entscheidungsrichtlinie anzuwenden ist. Höchste Priorität hat die größte Zahl. Entscheidungsworkflow Workflow, durch den die Entscheider für Bestellungen im IT Shop ermittelt werden. Wählen Sie einen beliebigen Entscheidungsworkflow aus der Auswahlliste aus oder richten Sie einen neuen Entscheidungsworkflow über die Schaltfläche neben dem Eingabefeld ein. Lesen Sie dazu den Abschnitt Einrichten von Entscheidungsworkflows auf Seite 49. Verlängerungsworkflow Entscheidungsworkflow, durch den die Entscheider ermittelt werden, wenn ein bestelltes Produkt verlängert wird. Wählen Sie einen beliebigen Entscheidungsworkflow aus der Auswahlliste aus oder richten Sie 45

Quest One Identity Manager einen neuen Entscheidungsworkflow über die Schaltfläche neben dem Eingabefeld ein. Lesen Sie dazu den Abschnitt Einrichten von Entscheidungsworkflows auf Seite 49. Wenn kein Verlängerungsworkflow angegeben ist, wird bei Verlängerung einer Bestellung der Entscheidungsworkflow der Bestellung genutzt (UID_SubMethodOrderProduct). Abbestellworkflow Entscheidungsworkflow, durch den die Entscheider ermittelt werden, wenn ein bestelltes Produkt abbestellt wird. Wählen Sie einen beliebigen Entscheidungsworkflow aus der Auswahlliste aus oder richten Sie einen neuen Entscheidungsworkflow über die Schaltfläche neben dem Eingabefeld ein. Lesen Sie dazu den Abschnitt Einrichten von Entscheidungsworkflows auf Seite 49. Mailvorlagen Nach Abschluss eines Genehmigungsverfahrens für eine Bestellung kann eine E-Mail Benachrichtigung an den Besteller versendet werden. Wählen Sie eine Mailvorlage, die für die Erzeugung von E-Mail Benachrichtigungen bei Genehmigung, Ablehnung, Fristablauf oder Abbruch einer Bestellung verwendet wird. Die Einrichtung der Benachrichtigungsverfahren ist im Abschnitt Benachrichtigungen im Bestellprozess auf Seite 79 beschrieben. Freigeschaltet für Gibt die Funktion an, für die die Entscheidungsrichtlinie genutzt werden kann. Werte sind: IT Shop, Attestierung, IT Shop + Attestierung. Der Wert ist abhängig von den zugeordneten Entscheidungsworkflows. ausführliche Beschreibung der Entscheidungsrichtlinie Entscheidungsrichtlinien werden im Identity Manager auch für Attestierungsvorgänge genutzt. Durch die Zuordnung von Entscheidungsworkflows zu den Entscheidungsrichtlinien legen Sie fest, ob diese nur für Attestierung oder nur für IT Shop-Bestellungen oder beides genutzt werden können. In der Ergebnisliste werden nur die Entscheidungsrichtlinien angezeigt, die für IT Shop zugelassen sind. Wenn die Entscheidungsrichtlinie aufgrund der verwendeten Entscheidungsverfahren für IT Shop und Attestierung genutzt werden kann, können Sie <Freigeschaltet für> ihren Erfordernissen entsprechend anpassen. Beispiel: Es wurde ein Entscheidungsworkflow mit einem "CP"-Schritt erstellt. Die Bedingung dieses Entscheidungsschrittes nutzt die Variable "@UID_PersonWantsOrg". Das Entscheidungsverfahren CP ist grundsätzlich sowohl für IT Shop als auch für Attestierung zugelassen. Da die Bedingung im Entscheidungsschritt über die Variable "@UID_PersonWantsOrg" auf eine Bestellung zugreift, kann der Entscheidungsworkflow nur für IT Shop genutzt werden. In diesem Fall ist es sinnvoll <Freigeschaltet für> auf IT Shop zu ändern. Standard-Entscheidungsrichtlinien Der Identity Manager liefert standardmäßig Entscheidungsrichtlinien aus. Diese Entscheidungsrichtlinien werden in den Genehmigungsverfahren des Shops Identity Lifecycle genutzt. An Standard-Entscheidungsrichtlinien können Sie Mailvorlagen für Benachrichtigungen im Bestellprozess hinterlegen und eine Priorität festlegen. Um Standard-Entscheidungsrichtlinien zu bearbeiten Wählen Sie die Kategorie IT Shop Basisdaten zur Konfiguration Entscheidungsrichtlinien Vordefiniert. Zusätzliche Aufgaben für Entscheidungsrichtlinien Nachdem Sie die Stammdaten für Entscheidungsrichtlinien erfasst haben, können Sie verschiedene Aufgaben auf die Entscheidungsrichtlinien anwenden. Die wichtigsten Informationen erhalten Sie über 46

Einrichten einer IT Shop-Lösung das Überblicksformular einer Entscheidungsrichtlinie. Über die Aufgabenansicht stehen verschiedene Formulare zur Verfügung, mit denen Sie folgenden Aufgaben ausführen können. In IT Shop aufnehmen Entscheidungsrichtlinien können Sie an Shops, Shoppingcenter oder Regale zuweisen. Die zugewiesene Entscheidungsrichtlinie wird auf alle Bestellungen aus dem jeweiligen IT Shop-Knoten angewendet, wenn an untergeordnete IT Shop-Knoten keine Entscheidungsrichtlinien zugewiesen sind. Lesen Sie dazu den Abschnitt Ermitteln der wirksamen Entscheidungsrichtlinie auf Seite 56. Auf Fehler untersuchen Wenn Sie eine Entscheidungsrichtlinie bearbeitet haben, sollten Sie diese auf ihre Gültigkeit prüfen. Führen Sie dazu die Aufgabe <Auf Fehler untersuchen> aus. Die Aufgabe prüft, ob die Entscheidungsschritte in den Entscheidungsworkflows in ihrer Kombination zulässig sind. Unzulässige Entscheidungsschritte werden im Fehlermeldungsfenster ausgegeben. Entscheidungsworkflows bearbeiten Über die Aufgaben <1. Entscheidungsworkflow bearbeiten>, <2. Verlängerungsworkflow bearbeiten> und <3. Abbestellworkflow bearbeiten> wechseln Sie in den Workfloweditor. Hier können Sie die Entscheidungsworkflows, die der Entscheidungsrichtlinie zugeordnet sind, bearbeiten. Lesen Sie dazu den Abschnitt Arbeiten mit dem Workfloweditor auf Seite 47. Arbeiten mit dem Workfloweditor Entscheidungsworkflows erstellen und bearbeiten Sie mit dem Workfloweditor. Der Workfloweditor erlaubt die Verkettung von Entscheidungsebenen. Mehrstufige Genehmigungsverfahren werden grafisch anschaulich dargestellt. Workfloweditor Im Workfloweditor werden die Entscheidungsebenen und die Entscheidungsschritte eines Entscheidungsworkflows über spezielle Steuerelemente dargestellt und bearbeitet. Der Workfloweditor verfügt über eine eigene Toolbox. Die Methoden der Toolbox werden abhängig von ihrer Anwendbarkeit auf das 47

Quest One Identity Manager ausgewählte Steuerelement aktiviert und deaktiviert. Die Layoutposition der Steuerelemente im Workfloweditor können Sie mausgesteuert verändern. Wenn Sie einen neuen Entscheidungsworkflow erstellen, wird zunächst ein neues Workflowelement erzeugt. Mit der Methode <Entscheidungsebenen>\<Hinzufügen> fügen Sie neue Ebenenelemente ein. Beim Einfügen eines neuen Ebenenelementes wird sofort ein Eigenschaftsfenster geöffnet, in welchem Sie den ersten Entscheidungsschritt dieser Ebene bearbeiten. Zum Einfügen weiterer Entscheidungsschritte in eine Entscheidungsebene verwenden Sie die Methode <Entscheidungsschritte>\<Hinzufügen>. Jedes der Elemente besitzt ein Eigenschaftsfenster, über das Sie die Daten des Entscheidungsworkflows, der Entscheidungsebene oder des Entscheidungsschrittes bearbeiten. Das Eigenschaftsfenster öffnen Sie über die jeweilige Methode <Bearbeiten...>. Eigenschaftsfenster eines Entscheidungsworkflows Über die Schaltfläche <OK> übernehmen Sie die Eingaben, über die Schaltfläche <Abbrechen> verwerfen Sie die Änderungen. In beiden Fällen wird das Eigenschaftsfenster geschlossen. Die einzelnen Elemente verketten Sie über Verbinder miteinander. Die Verbindungspunkte aktivieren Sie mausgesteuert. Bei der Auswahl eines Verbindungspunktes wechselt der Mauszeiger zum Pfeilsymbol. Halten Sie die linke Maustaste gedrückt und ziehen Sie einen Verbinder von einem Verbindungspunkt zum zweiten Verbindungspunkt. Standardmäßig wird beim Einfügen der ersten Entscheidungsebene sofort eine Verbindung zwischen Workflowelement und Ebenenelement hergestellt. Soll die Hierarchie der Ebenen geändert werden, können Sie ausgehend vom Workflowelement den Verbinder zu einem Ebenenelement neu herstellen und diese Ebene somit zur ersten Ebene herauf stufen. Die Verbinder zwischen den weiteren Ebenenelementen können Sie alternativ über die Methoden <Zuordnungen>\<Positiv entfernen>, <Zuordnungen>\<Negativ entfernen> oder <Zuordnungen>\<Umleitung entfernen> lösen und anschließend die neuen Verbinder einfügen. Auf den Ebenenelemente werden abhängig von der Konfiguration der Entscheidungsschritte verschiedene Symbole dargestellt. Symbole auf einem Ebenenelement SYMBOL BEDEUTUNG Die Entscheidung wird vom System vorgenommen. Die Entscheidung wird manuell vorgenommen. Der Entscheidungsschritt enthält eine Erinnerungsfunktion. 48

Einrichten einer IT Shop-Lösung Symbole auf einem Ebenenelement SYMBOL BEDEUTUNG Der Entscheidungsschritt enthält ein Timeout-Intervall. Änderungen an den einzelnen Elementen übernehmen Sie erst durch das Speichern des gesamten Entscheidungsworkflows. Zusätzlich zum Inhalt des Entscheidungsworkflows wird auch die Layoutposition der einzelnen Elemente im Workfloweditor gespeichert. Einrichten von Entscheidungsworkflows Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Ein Entscheidungsworkflow besteht aus einer oder mehreren Entscheidungsebenen. Eine Entscheidungsebene kann einen Entscheidungsschritt oder mehrere parallele Entscheidungsschritte umfassen. Innerhalb des Genehmigungsverfahrens müssen alle Entscheidungsschritte einer Entscheidungsebene durchlaufen werden, bevor die nächste Entscheidungsebene aufgerufen wird. Die Abfolge der Entscheidungsebenen im Entscheidungsworkflow wird über Verbinder hergestellt. Entscheidungsworkflows bearbeiten Sie in der Kategorie <IT Shop>\<Basisdaten zur Konfiguration>\<Entscheidungsworkflows>. Entscheidungsworkflow Wenn Sie einen neuen Entscheidungsworkflow erstellen, wird zunächst ein neues Workflowelement erzeugt. Öffnen Sie das Eigenschaftsfenster des Workflows über die Methode <Workflow>\<Bearbeiten...>. Im Eigenschaftsfenster der Entscheidungsworkflows erfassen Sie die folgenden Daten: Bezeichnung des Entscheidungsworkflows Systemabbruch (Tage) Tragen Sie die Anzahl der Tage ein, nach deren Ablauf der Entscheidungsworkflow, und somit das gesamte Genehmigungsverfahren, automatisch durch das System beendet wird. Lesen Sie dazu auch den Abschnitt Abbruch einer Bestellung bei Zeitüberschreitung auf Seite 77. 49

Quest One Identity Manager Beschreibung des Entscheidungsworkflows Einrichten eines Entscheidungsworkflows Entscheidungsebenen und Entscheidungsschritte bearbeiten Fügen Sie über die Methode <Entscheidungsebenen>\<Hinzufügen> Entscheidungsebenen in den Entscheidungsworkflow ein. Eine Entscheidungsebene dient zur Gruppierung einzelner Entscheidungsschritte. Alle Entscheidungsschritte einer Entscheidungsebene werden zeitlich parallel ausgeführt. Alle Entscheidungsschritte verschiedener Entscheidungsebenen werden zeitlich nacheinander ausgeführt. Die Reihenfolge legen Sie über die Verbinder fest. In den Entscheidungsebenen legen Sie die einzelnen Entscheidungsschritte fest. Pro Entscheidungsebene ist mindestens ein Entscheidungsschritt notwendig. Sie können mehrere Entscheidungsschritte auf einer Entscheidungsebene definieren. Die Entscheider einer Entscheidungsebene können in diesem Fall für eine Bestellung parallel, statt nacheinander, entscheiden. Erst wenn innerhalb des Genehmigungsverfahrens alle Entscheidungsschritte einer Entscheidungsebene abgeschlossen sind, wird die Bestellung den Entscheidern der nächsten Entscheidungsebene vorgelegt. 50

Einrichten einer IT Shop-Lösung Wenn Sie eine Entscheidungsebene hinzufügen, erfassen Sie zuerst die erforderlichen Entscheidungsschritte. Einrichten eines Entscheidungsschrittes Im Eigenschaftsfenster eines Entscheidungsschrittes erfassen Sie die folgenden Daten: Einzelschritt Bezeichnung des Entscheidungsschrittes Entscheidungsverfahren Anzuwendendes Verfahren zur Ermittlung der Entscheider. In der Auswahlliste finden Sie die im Abschnitt Auswahl der verantwortlichen Entscheider auf Seite 57 beschriebenen Verfahren zur Ermittlung der entscheidungsberechtigten Personen. Bearbeitungsstatus Für jeden Entscheidungsschritt können Sie einen Bearbeitungsstatus für den Erfolgsfall oder den Fehlerfall hinterlegen. Abhängig von einer positiven oder negativen Entscheidung über eine Bestellung wird der entsprechende Bearbeitungsstatus für die Bestellung gesetzt. Bearbeitungsstatus erfassen Sie in der Kategorie <IT Shop>\<Basisdaten>\<Bearbeitungsstatus>. Lesen Sie dazu den Abschnitt Bearbeitungsstatus auf Seite 98. Mailvorlagen Nach Abschluss eines Entscheidungsschrittes für eine Bestellung kann eine E-Mail Benachrichtigung an den Besteller oder den Entscheider versendet werden. Wählen Sie eine Mailvorlage, die für die Erzeugung von E-Mail Benachrichtigungen bei Aufforderung zur Genehmigung, Ge- 51

Quest One Identity Manager nehmigung, Ablehnung, Eskalation, Abbruch, Zurückweisung oder Delegierung einer Bestellung sowie als Erinnerungsbenachrichtigung verwendet wird. Die Einrichtung der Benachrichtigungsverfahren ist im Abschnitt Benachrichtigungen im Bestellprozess auf Seite 79 beschrieben. Relevanz für Compliance Legen Sie fest, ob Regelverletzungen, die durch eine Bestellung verursacht werden, dem Entscheider mitgeteilt werden. Folgende Werte sind zulässig. Zulässige Werte für Relevanz WERT nicht relevant Information Maßnahmen nötig BESCHREIBUNG Eine Information über Regelverletzungen ist für die Entscheider in diesem Entscheidungsschritt nicht relevant. Im Genehmigungsverfahren werden für die Entscheider keine zusätzlichen Informationen angezeigt. Die Entscheider in diesem Entscheidungsschritt erhalten im Genehmigungsverfahren eine Information, wenn durch die Bestellung gegen eine Complianceregel verstoßen wird. Die Entscheider entscheiden selbst, ob sie die Bestellung genehmigen oder ablehnen. Die Entscheider in diesem Entscheidungsschritt erhalten im Genehmigungsverfahren eine Information, wenn durch die Bestellung gegen eine Complianceregel verstoßen wird. Die Bestellung wird automatisch abgelehnt. Anzahl Entscheider Werden für einen Entscheidungsschritt mehrere Personen als Entscheider ermittelt, dann bestimmt die hier angegebene Anzahl, wie viele Personen dieses Personenkreises eine Bestellung genehmigen müssen. Erst danach wird die Bestellung den Entscheidern der nächsten Ebene vorgelegt. Beschreibung des Entscheidungsschrittes Begründung Für Entscheidungsverfahren, deren Entscheidungen automatisch vorgenommen werden, können Sie zur besseren Nachvollziehbarkeit der Entscheidung Begründungstexte für die Genehmigung und die Ablehnung eintragen. Diese Begründungen werden im Entscheidungsverlauf einer Bestellung angezeigt. Erinnerungsintervall (Arbeitsstunden) Tragen Sie die Anzahl der Arbeitsstunden ein, nach deren Ablauf eine Entscheider per E-Mail Benachrichtigung erinnert wird, dass noch offene Bestellungen zur Genehmigung vorliegen. Lesen Sie dazu auch den Abschnitt Erinnerung der Entscheider auf Seite 80. Timeout (Arbeitsstunden) und Verhalten bei Timeout Tragen Sie im Eingabefeld <Timeout (Arbeitsstunden)> die Anzahl der Arbeitsstunden an, nach deren Ablauf der Entscheidungsschritt automatisch geschlossen wird. Wählen Sie in der Auswahlliste <Verhalten bei Timeout> mit welcher Aktion der Entscheidungsschritt im Falle einer 52

Einrichten einer IT Shop-Lösung Zeitüberschreitung ausgeführt wird. Mögliche Verfahren bei Zeitüberschreitung VERFAHREN Genehmigung Ablehnung Eskalation Abbruch BESCHREIBUNG Die Bestellung wird in diesem Entscheidungsschritt genehmigt. Es wird der nächsten Entscheidungsschritt aufgerufen. Die Bestellung wird in diesem Entscheidungsschritt abgelehnt. Es wird der nächsten Entscheidungsschritt aufgerufen. Der Bestellprozess wird eskaliert. Es wird der Entscheidungsschritt zur Eskalation aufgerufen. Der Entscheidungsschritt, und somit das gesamte Genehmigungsverfahren, für die Bestellung wird abgebrochen. Weitere Informationen zur Konfiguration des Verhaltens bei Zeitüberschreitung erhalten Sie in den Abschnitten Eskalieren eines Entscheidungsschrittes auf Seite 75, Automatische Entscheidung bei Zeitüberschreitung auf Seite 77 und Abbruch einer Bestellung bei Zeitüberschreitung auf Seite 77. Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Personen ein Bundesland und/oder ein Bundesstaat eingetragen ist. Weitere Informationen erhalten Sie im Abschnitt Ermitteln der Arbeitszeit einer Person auf Seite 79 im Handbuch Identity Management. Zusätzliche Entscheider erlaubt Ist die Option aktiviert, kann ein aktueller Entscheider eine weitere Person als Entscheider beauftragen. Dieser zusätzliche Entscheider ist für die aktuelle Bestellung parallel entscheidungsberechtigt. Erst wenn beide Entscheidungen abgeschlossen sind, wird die Bestellung den Entscheidern der nächsten Ebene vorgelegt. Die Option kann nur für Entscheidungsebenen mit einem einzelnen Entscheidungsschritt aktiviert werden. Entscheidung delegierbar Ist die Option aktiviert, kann ein aktueller Entscheider die Genehmigung der Bestellung an eine andere Person delegieren. Diese Person wird als Entscheider in den aktuellen Entscheidungsschritt aufgenommen. Sie entscheidet anstelle des delegierenden Entscheiders. Die Option kann nur für Entscheidungsebenen mit einem einzelnen Entscheidungsschritt aktiviert werden. Nicht in Genehmigungshistorie anzeigen Ist die Option aktiviert, wird dieser Entscheidungsschritt in der Genehmigungshistorie ausgeblendet. Beispielsweise kann dieses Verhalten für Entscheidungsschritte mit dem Entscheidungsverfahren "CD - Errechnete Entscheidung" eingesetzt werden, die nur zur Verzweigung im Entscheidungsbaum dienen. Es erhöht die Übersichtlichkeit der Genehmigungshistorie. Keine automatische Entscheidung Ist die Option aktiviert, muss dieser Entscheidungsschritt manuell entschieden werden. Automatische Entscheidungen mehrerer Schritte werden nicht durchgeführt. Nähere Informationen zu automatischen Entscheidungen erhalten Sie im Abschnitt Automatische Entscheidung von Bestellungen auf Seite 73. 53

Quest One Identity Manager Abhängig vom ausgewählten Entscheidungsverfahren werden zusätzlich die Eingabefelder <Rolle>, <Bedingung> oder <Ereignis> angezeigt. Diese Eingabefelder sind bei den jeweiligen Entscheidungsverfahren im Abschnitt Auswahl der verantwortlichen Entscheider auf Seite 57 beschrieben. Sobald Sie eine Entscheidungsebene mit mindestens einem Entscheidungsschritt erstellt haben, können Sie die Eigenschaften dieser Entscheidungsebene bearbeiten. Im Eigenschaftsfenster der Entscheidungsebene legen Sie den Anzeigenamen der Entscheidungsebene fest. Entscheidungsebenen verbinden Wenn Sie Entscheidungsworkflows mit mehreren Entscheidungsebenen einrichten, müssen Sie die einzelnen Ebenen miteinander verbinden. Dabei können Sie folgende Verknüpfungen erstellen: Genehmigung Nachfolgende Entscheidungsebene bei positiver Entscheidung einer Bestellung auf der aktuellen Entscheidungsebene Ablehnung Nachfolgende Entscheidungsebene bei negativer Entscheidung einer Bestellung auf der aktuellen Entscheidungsebene Umleitung Beliebige Entscheidungsebene zum Umleiten einer Entscheidung Entscheider können die Entscheidung durch eine andere Entscheidungsebene ausführen lassen, beispielsweise wenn im Einzelfall die Genehmigung durch einen Manager erforderlich ist. Erstellen Sie dafür eine Verbindung zu der Entscheidungsebene, an die eine Entscheidung umgeleitet werden kann. Auf diesem Weg können Entscheidungen auch an eine vorhergehende Entscheidungsebene zurückgegeben werden, beispielsweise bei unzureichender Begründung einer Entscheidung. Umleitungen an Entscheidungsschritte mit den Entscheidungsverfahren OC, OH, EX, CR, CD, SB oder WC sind nicht möglich. Eskalation 54

Einrichten einer IT Shop-Lösung Entscheidungsebene bei Eskalation einer Entscheidung nach Timeout Verbinder im Entscheidungsworkflow Sind keine nachfolgenden Entscheidungsebenen zur aktuellen Entscheidungsebene angegeben, dann gilt bei einer positiven Entscheidung die Bestellung als genehmigt. Bei einer negativen Entscheidung gilt die Bestellung dann als endgültig abgelehnt. Das Genehmigungsverfahren ist in beiden Fällen abgeschlossen. Entscheidungsworkflow kopieren Über die Aufgabe <Workflow kopieren...> können Sie eine Kopie des ausgewählten Entscheidungsworkflows erzeugen. Es wird ein Dialogfenster geöffnet, auf dem Sie einen Namen für die Kopie angeben. Die Kopieraktion starten Sie über die Schaltfläche <Ok>. Über die Schaltfläche <Abbrechen> brechen Sie die Aktion ab. In beiden Fällen wird das Dialogfenster geschlossen. Die Kopie können Sie anschließend umbenennen und weiter bearbeiten. Entscheidungsworkflow löschen Um Entscheidungsworkflows zu löschen, entfernen Sie zuerst alle Zuordnungen zu Entscheidungsrichtlinien. Nutzen Sie danach die Schaltflächen in den Symbolleisten, um den Entscheidungsworkflow zu löschen. Standard-Entscheidungsworkflows Der Identity Manager liefert standardmäßig Entscheidungsworkflows aus. Diese Entscheidungsworkflows werden in den Genehmigungsverfahren des Shops Identity Lifecycle genutzt. Jeder Standard- 55

Quest One Identity Manager Entscheidungsworkflow ist mit einer Standard-Entscheidungsrichtlinie gleichen Namens verbunden. Sie können verschiedene Eigenschaften der Entscheidungsschritte bearbeiten, beispielsweise um Benachrichtigungen im Bestellprozess zu konfigurieren. Um Standard-Entscheidungsworkflows zu bearbeiten Wählen Sie die Kategorie IT Shop Basisdaten zur Konfiguration Entscheidungsworkflows Vordefiniert. Ermitteln der wirksamen Entscheidungsrichtlinie Entscheidungsrichtlinien können Sie auf verschiedene IT Shop Strukturen und Leistungspositionen anwenden. Haben Sie mehrere Entscheidungsrichtlinien innerhalb Ihrer IT Shop-Lösung eingerichtet, wird anhand definierter Regeln die anzuwendende Entscheidungsrichtlinie ermittelt. Die wirksame Entscheidungsrichtlinie wird folgendermaßen ermittelt: Als gültige Entscheidungsrichtlinie wird diejenige verwendet, die der bestellten Leistungsposition zugeordnet ist. Ist der Leistungsposition keine Entscheidungsrichtlinie zugeordnet, wird die Entscheidungsrichtlinie der zugeordneten Servicekategorie verwendet. Ist der Servicekategorie keine Entscheidungsrichtlinie zugeordnet, wird die Entscheidungsrichtlinie verwendet, die dem Regal des bestellten Produktes zugeordnet ist. Ist dem Regal keine Entscheidungsrichtlinie zugeordnet, wird eine dem Shop zugeordnete Entscheidungsrichtlinie verwendet. Ist auch dem Shop keine Entscheidungsrichtlinie zugeordnet, so wird eine dem Shoppingcenter zugeordnete Entscheidungsrichtlinie verwendet. Eine nach diesem Vorgehen gefundene Entscheidungsrichtlinie ist nur dann anwendbar, wenn sie keinen Rollentyp enthält oder der enthaltene Rollentyp gleich dem Rollentyp des Regals ist. Werden nach den beschriebenen Regeln mehrere wirksame Entscheidungsrichtlinien erkannt, so wird diejenige verwendet, die die in alphanumerischer Sortierfolge höchste Prioritätsangabe hat. Wird hiermit keine Eindeutigkeit erzielt, gilt die Entscheidungsrichtlinie mit der geringsten Schrittanzahl. Ist auch hiermit keine Eindeutigkeit zu erreichen, so wird zur Erzielung von Eindeutigkeit die zuerst gefundene Entscheidungsrichtlinie herangezogen. Wird eine wirksame Entscheidungsrichtlinie für einen Bestellvorgang gefunden, so wird derjenige Entscheidungsschritt zur Auswahl der Entscheider angewendet, welcher der Entscheidungsebene des Bestellvorgangs entspricht. Haben Sie keine Entscheidungsrichtlinie zugewiesen, so kann keine Bestellung ausgelöst werden. Können auf einer Entscheidungsebene keine verantwortlichen Entscheider ermittelt werden, so ist die Bestellung nicht entscheidbar. Offene Bestellungen werden abgelehnt und geschlossen. Abbestellte Produkte bleiben zugewiesen. Zu verlängernde Produkte bleiben bis zum Gültig bis -Datum zugewiesen. Wenn sich der Genehmigungsworkflow für eine offene Bestellung ändert, werden alle bereits getroffenen Entscheidungen zurückgesetzt. Die Bestellung durchläuft das Genehmigungsverfahren erneut. Dieses Verhalten steuern Sie über den Konfigurationsparameter QER\ITShop\ResetOnWorkflowChange. Lesen Sie dazu den Abschnitt Änderung des Entscheidungsworkflows bei offenen Bestellungen auf Seite 91. 56

Einrichten einer IT Shop-Lösung Auswahl der verantwortlichen Entscheider Ein Entscheider ist eine Person, die innerhalb eines Genehmigungsverfahrens eine Bestellung (Verlängerung oder Abbestellung) genehmigen oder ablehnen kann. In jedem Entscheidungsschritt können Sie einen anderen Personenkreis als Entscheider festlegen. Werden für einen Entscheidungsschritt mehrere Personen als Entscheider ermittelt, dann bestimmt die am Entscheidungsschritt angegebene Anzahl, wie viele Personen dieses Personenkreises eine Bestellung genehmigen müssen. Erst danach wird die Bestellung den Entscheidern der nächsten Ebene vorgelegt. Kann für einen Entscheidungsschritt kein Entscheider ermittelt werden, wird die Bestellung abgebrochen. Für die Auswahl der verantwortlichen Entscheider sind die nachfolgend aufgeführten Entscheidungsverfahren definiert. Die Angabe erfolgt über Abkürzungen, die aus zwei Zeichen bestehen. Entscheidungsverfahren für IT Shop-Bestellungen ABKÜR- ZUNG BEZEICHNUNG DES ENTSCHEIDUNGS- VERFAHRENS VERANTWORTLICHE ENTSCHEIDER BR Zurück zum Bestellempfänger Person, die die Bestellung erhält BS Zurück zum Besteller Person, die die Bestellung ausgelöst hat CD Errechnete Entscheidung - CM Manager des Empfängers Verantwortlicher CP Errechneter Personenkreis über Bedingung ermittelt CR Compliance Risiko Bewertung - D0 Leiter der dem Regal zugeordneten Abteilung Verantwortlicher/Stellvertreter D1 Leiter der dem Shop zugeordneten Abteilung Verantwortlicher/Stellvertreter D2 DI Leiter der dem Shoppingcenter zugeordneten Abteilung Genehmiger (IT) der in Bestellung angegebenen Abteilung Verantwortlicher/Stellvertreter Alle Mitglieder der zugeordneten Anwendungsrolle DM Abteilungsleiter des Empfängers Verantwortlicher/Stellvertreter DP DR Leiter der in Bestellung angegebenen Abteilung Genehmiger der in Bestellung angegebenen Abteilung Verantwortlicher/Stellvertreter Alle Mitglieder der zugeordneten Anwendungsrolle EX Extern vorzunehmende Entscheidung - FO Dateneigner unstrukturierter Daten Alle Mitglieder der zugeordneten Anwendungsrolle und direkt zugeordnete Dateneigner H0 Eigentümer des Regals Eigentümer/Stellvertreter H1 Eigentümer des Shops Eigentümer/Stellvertreter H2 Eigentümer des Shoppingcenters Eigentümer/Stellvertreter 57

Quest One Identity Manager Entscheidungsverfahren für IT Shop-Bestellungen Genehmiger der primären Rolle des Empfängers ABKÜR- ZUNG ID BEZEICHNUNG DES ENTSCHEIDUNGS- VERFAHRENS Genehmiger (IT) der Abteilung des Empfängers VERANTWORTLICHE ENTSCHEIDER Alle Mitglieder der zugeordneten Anwendungsrolle IL Genehmiger (IT) des Standortes des Empfängers Alle Mitglieder der zugeordneten Anwendungsrolle IO IP Genehmiger (IT) der primären Rolle des Empfängers Genehmiger (IT) der Kostenstelle des Empfängers Alle Mitglieder der zugeordneten Anwendungsrolle Alle Mitglieder der zugeordneten Anwendungsrolle OA Produkteigner Alle Mitglieder der zugeordneten Anwendungsrolle OC Ausnahmegenehmiger der verletzten Regeln Alle Mitglieder der zugeordneten Anwendungsrolle OH Ausnahmegenehmiger der schwersten Regelverletzung Alle Mitglieder der zugeordneten Anwendungsrolle OM Manager einer bestimmten Rolle Manager, der im Entscheidungsworkflow festgelegten Rolle. OR Mitglieder einer bestimmten Rolle Alle Personen, die der im Entscheidungsworkflow festgelegten Rolle sekundär zugewiesen sind. P0 P1 P2 PA PI Verantwortliche der dem Regal zugeordneten Kostenstelle Verantwortliche der dem Shop zugeordneten Kostenstelle Verantwortliche der dem Shoppingcenter zugeordneten Kostenstelle Zusätzliche Besitzer der Active Directory Gruppe Genehmiger (IT) der in Bestellung angegebenen Kostenstelle Verantwortlicher/Stellvertreter Verantwortlicher/Stellvertreter Verantwortlicher/Stellvertreter Alle Personen, die über den zusätzlichen Besitzer der bestellten Active Directory Gruppe ermittelt werden können. Alle Mitglieder der zugeordneten Anwendungsrolle PM Kostenstellenverantwortliche des Empfängers Verantwortlicher/Stellvertreter PP PR Verantwortliche der in Bestellung angegebenen Kostenstelle Genehmiger der in Bestellung angegebenen Kostenstelle Verantwortlicher/Stellvertreter Alle Mitglieder der zugeordneten Anwendungsrolle RD Genehmiger der Abteilung des Empfängers Alle Mitglieder der zugeordneten Anwendungsrolle RL Genehmiger des Standortes des Empfängers Alle Mitglieder der zugeordneten Anwendungsrolle RO Alle Mitglieder der zugeordneten Anwendungsrolle 58

Einrichten einer IT Shop-Lösung Entscheidungsverfahren für IT Shop-Bestellungen ABKÜR- ZUNG BEZEICHNUNG DES ENTSCHEIDUNGS- VERFAHRENS VERANTWORTLICHE ENTSCHEIDER RP Genehmiger der Kostenstelle des Empfängers Alle Mitglieder der zugeordneten Anwendungsrolle SB Selbstbedienung - TO Zielsystemverantwortliche der bestellten Berechtigung Alle Mitglieder der zugeordneten Anwendungsrolle WC Warten auf andere Entscheidung - Welche Person, in welcher Entscheidungsebene entscheidungsberechtigt ist, wird durch den DBScheduler berechnet. Beachten Sie bei der Einrichtung von Entscheidungsworkflows die Besonderheiten der einzelnen Entscheidungsverfahren zur Ermittlung der entscheidungsberechtigten Personen. Selbstbedienung Einen Entscheidungsworkflow mit dem Entscheidungsverfahren SB (Selbstbedienung) definieren Sie immer als einstufigen Workflow, das bedeutet zu einem Entscheidungsschritt für Selbstbedienung können Sie keinen weiteren Entscheidungsschritt einrichten. Die Festlegung von Entscheidern ist für dieses Entscheidungsverfahren nicht erforderlich. Eine Bestellung mit Selbstbedienung wird sofort automatisch positiv entschieden. In der Standardinstallation sind der Entscheidungsworkflow und die Entscheidungsrichtlinie Default Selfservice standardmäßig vorhanden und dem Shop Identity Lifecycle zugewiesen. Entscheider über die IT Shop Strukturen ermitteln Sollen die Eigentümer eines Regals (Entscheidungsverfahren H0 ), eines Shops (Entscheidungsverfahren H1 ) oder eines Shoppingcenters (Entscheidungsverfahren H2 ) als Entscheider ermittelt werden, tragen Sie die Eigentümer und deren Stellvertreter an dem entsprechenden IT Shop-Knoten ein. Sollen die Leiter der Abteilung eines Regals (Entscheidungsverfahren D0 ), eines Shops (Entscheidungsverfahren D1 ) oder eines Shoppingcenters (Entscheidungsverfahren D2 ) als Entscheider ermittelt werden, benötigen diese IT Shop Strukturen eine Abteilung. Die Leiter und stellvertretenden Leiter dieser Abteilung sind dann entscheidungsberechtigt. Sollen die Verantwortlichen der Kostenstelle eines Regals (Entscheidungsverfahren P0 ), eines Shops (Entscheidungsverfahren P1 ) oder eines Shoppingcenters (Entscheidungsverfahren P2 ) als Entscheider ermittelt werden, benötigen diese IT Shop Strukturen eine Kostenstelle. Die verantwortlichen Personen dieser Kostenstelle sind dann entscheidungsberechtigt. Entscheider über den Kunden ermitteln Soll der Manager eines Kunden (Entscheidungsverfahren CM ) als Entscheider ermittelt werden, müssen Sie in den Personenstammdaten einen Manager eintragen. Soll der Leiter der Abteilung des Kunden (Entscheidungsverfahren DM ) als Entscheider ermittelt werden, muss der Kunde einer primären Abteilung zugeordnet sein. Die Leiter und stellvertretenden Leiter dieser Abteilung sind dann entscheidungsberechtigt. Sollen die Verantwortlichen der Kostenstelle des Kunden (Entscheidungsverfahren PM ) als Entscheider ermittelt werden, muss der Kunde einer primären Kostenstelle zugewiesen sein. Die verantwortlichen Personen dieser Kostenstelle sind dann entscheidungsberechtigt. 59

Quest One Identity Manager Entscheider über eine festgelegte Rolle ermitteln Wenn die Mitglieder einer bestimmten Rolle als Entscheider ermittelt werden sollen, nutzen Sie die Entscheidungsverfahren OR oder OM. Im Entscheidungsschritt legen Sie zusätzlich die Rolle fest, über die die Entscheider ermittelt werden sollen. Die Entscheidungsverfahren ermitteln folgende Entscheider. Haben diese Personen in den Personenstammdaten einen Stellvertreter IT Shop eingetragen, ist dieser zusätzlich entscheidungsberechtigt. AUSWÄHLBARE ROLLEN ENTSCHEIDER OM Abteilungen (Department) Kostenstellen (ProfitCenter) Standorte (Locality) Geschäftsrollen (Org) Manager und Stellvertreter der am Entscheidungsschritt festgelegten Rolle OR Abteilungen (Department) Kostenstellen (ProfitCenter) Standorte (Locality) Geschäftsrollen (Org) Anwendungsrollen (AERole) alle sekundären Mitglieder der am Entscheidungsschritt festgelegten Rolle Entscheider über das bestellte Produkt ermitteln Wenn die Verantwortlichen des bestellten Produkts als Entscheider ermittelt werden sollen, verwenden Sie eines der folgenden Entscheidungsverfahren. OA - Produkteigner Wenn die Produkteigner als Entscheider ermittelt werden sollen, ordnen Sie der Leistungsposition des Produktes im Eingabefeld <Produkteigner> eine Anwendungsrolle zu. In diesem Fall werden als Entscheider alle die Personen erkannt, die über die sekundäre Zuordnung der angegebenen Anwendungsrolle zugewiesen sind. PA - Zusätzliche Besitzer der Active Directory Gruppe Wenn eine Active Directory Gruppe bestellt wird, können die Entscheider über die zusätzlichen Besitzer dieser Active Directory Gruppe ermittelt werden. Dabei werden alle Personen ermittelt, die über ihr Active Directory Benutzerkonto Mitglied in der zugeordneten Active Directory Gruppe sind beziehungsweise die mit dem zugeordeten Active Directory Benutzerkonto verbunden sind. Nutzen Sie das Entscheidungsverfahren nur dann, wenn der Konfigurationsparameter TargetSystem\ADS\ARS_SSM aktiviert ist. Die Spalte Zusätzliche Besitzer ist nur in diesem Fall verfügbar. 60

Einrichten einer IT Shop-Lösung TO - Zielsystemverantwortliche der bestellten Berechtigung Wenn eine Systemberechtigung bestellt wird, können mit diesem Entscheidungsverfahren die Zielsystemverantwortlichen als Entscheider ermittelt werden. Zielsystemverantwortliche weisen Sie dem Basisobjekt der Synchronisation eines Zielsystems zu (beispielsweise Active Directory Domäne, SAP Mandant, Zielsystemtyp im Unified Namespace). Es werden alle Personen als Entscheider ermittelt, die der hier zugeordneten Anwendungsrolle zugewiesen sind, sowie alle Mitglieder übergeordneter Anwendungsrollen. Es werden die Zielsystemverantwortlichen der Systemberechtigung ermittelt, die als resultierendes Produkt an der Bestellung hinterlegt ist (Spalte PersonWantsOrg.UID_ITShopOrgFinal ). FO - Dateneigner unstrukturierter Daten Wenn unstrukturierte Daten bestellt werden, können die Entscheider über die Dateneigner ermittelt werden. Dabei werden alle Personen ermittelt, die Mitglied der Anwendungsrolle <Data Governance>\<Dateneigner> sind oder die dem bestellten Datenobjekt als Dateneigner direkt zugeordnet sind. Nutzen Sie das Entscheidungsverfahren nur dann, wenn der Konfigurationsparameter TargetSystem\ADS\QAM aktiviert ist. Entscheider über eine Genehmigerrolle ermitteln Sollen die Genehmiger einer Rolle (Entscheidungsverfahren RD, RL, RO, RP ) als Entscheider ermittelt werden, müssen Sie der primären Abteilung (Kostenstelle, Standort bzw. Geschäftsrolle) des Kunden im Eingabefeld <Genehmiger> eine Anwendungsrolle zuordnen. Alle sekundär zugewiesenen Personen dieser Anwendungsrolle sind entscheidungsberechtigt. Entscheider über Genehmiger einer Abteilung ermitteln Ermittlung der Entscheider am Beispiel einer Genehmigerrolle für die primäre Abteilung des Kunden (Entscheidungsverfahren RD ): 1. Es wird die primäre Abteilung ( UID_Department) des Kunden ermittelt. 2. Über den Genehmiger dieser Abteilung ( UID_RulerContainer ) wird die Anwendungsrolle 61

Quest One Identity Manager ( UID_AERole ) ermittelt. 3. Für diese Anwendungsrolle werden die sekundär zugewiesenen Personen ermittelt. Diese sind entscheidungsberechtigt. 4. Ist für die primäre Abteilung keine Genehmigerrolle angegeben, so wird die Genehmigerrolle der übergeordneten Abteilung ermittelt. 5. Kann bis zur obersten Abteilung keine Genehmigerrolle ermittelt werden, dann ist die Bestellung nicht entscheidbar. 6. Sind der Anwendungsrolle keine Personen zugewiesen, dann ist die Bestellung nicht entscheidbar. Die Auswahl der Entscheider über den Genehmiger (IT) einer Rolle (Entscheidungsverfahren ID, IL, IO, IP ) erfolgt nach dem gleichen Prinzip. Der primären Abteilung (Kostenstelle, Standort bzw. Geschäftsrolle) des Kunden muss im Eingabefeld <Genehmiger (IT)> eine Anwendungsrolle zugeordnet sein. Alle sekundär zugewiesenen Personen dieser Anwendungsrolle sind entscheidungsberechtigt. Wenn die Entscheider über das Entscheidungsverfahren RO oder IO ermittelt werden und für die Geschäftsrollen Bottom-Up-Vererbung festgelegt ist, beachten Sie Folgendes: Wenn für die primäre Geschäftsrolle keine Genehmigerrolle angegeben ist, so wird die Genehmigerrolle der untergeordneten Geschäftsrolle ermittelt. Entscheider über eine Kostenstelle ermitteln Sollen die Entscheider über die Kostenstelle einer Bestellung ermittelt werden, muss der Besteller bei der Bestellung eine Kostenstelle zur Abrechnung angeben. Sollen die Entscheider über die Abteilung einer Bestellung ermittelt werden, muss der Besteller bei der Bestellung eine Abteilung zur Abrechnung angeben. Es sind die Verantwortlichen der Kostenstelle (Entscheidungsverfahren PP ) bzw. die Leiter der Abteilung (Entscheidungsverfahren DP ) entscheidungsberechtigt. Sollen die Genehmiger der angegebenen Kostenstelle oder Abteilung (Entscheidungsverfahren PR, DR ) als Entscheider ermittelt werden, muss der angegebenen Kostenstelle oder Abteilung eine Anwendungsrolle im Eingabefeld <Genehmiger> zugeordnet sein. Alle Mitglieder der hier zugeordneten Anwendungsrolle sind entscheidungsberechtigt. Sollen die Genehmiger (IT) der angegebenen Kostenstelle oder Abteilung (Entscheidungsverfahren PI, DI ) als Entscheider ermittelt werden, muss der angegebenen Kostenstelle oder Abteilung eine Anwendungsrolle im Eingabefeld <Genehmiger (IT)> zugeordnet sein. Alle Mitglieder der hier zugeordneten Anwendungsrolle sind entscheidungsberechtigt. Die Entscheider werden nach dem im Abschnitt Entscheider über eine Genehmigerrolle ermitteln auf Seite 61 beschriebenen Prinzip ermittelt. Dynamisch errechneter Personenkreis Sollten die vordefinierten Entscheidungsverfahren zur Ermittlung der verantwortlichen Entscheider nicht den Anforderungen entsprechen, können Sie eigene Datenbankabfragen zur Ermittlung der entscheidungsberechtigten Personen erstellen (Entscheidungsverfahren CP ). Dabei können Sie beispielsweise vorher festgelegte Entscheider ermitteln (Beispiel 1). Sie können die Entscheider auch dynamisch in Abhängigkeit der zu genehmigenden Bestellung ermitteln. Dafür greifen Sie innerhalb der Datenbankabfrage über die Variable @UID_PersonWantsOrg (SQL) bzw. v_uid_personwantsorg (Oracle) auf die zu genehmigende Bestellung zu (Beispiel 2). Die Datenbankabfrage für die Berechnung des Personenkreises geben Sie bei der Einrichtung des Entscheidungsschrittes im Eingabefeld <Bedingung> ein. Die Datenbankabfrage muss als Select-Statement formuliert werden. Achten Sie darauf, dass die über die Datenbankabfrage selektierte Spalte zwingend eine UID_Person liefern muss. Ergebnis der Abfrage sind eine oder mehrere Personen, denen 62

Einrichten einer IT Shop-Lösung die Bestellung zur Entscheidung vorgelegt wird. Liefert die Abfrage kein Ergebnis, wird die Bestellung abgebrochen. Beispiel 1: Die Bestellungen sollen durch einen festgelegten Entscheider genehmigt werden. Beispiel 2: select UID_Person from Person where InternalName='Rittersgrün, Dr. Rüdiger von' Der Entscheider soll über die Abteilung des Bestellers ermittelt werden. Wobei der Besteller die Person ist, die eine Bestellung auslöst (UID_PersonInserted, beispielsweise beim Bestellen für Mitarbeiter). Entscheidungsberechtigt ist der Verantwortliche der Kostenstelle, die der primären Abteilung des Bestellers zugeordnet sind. select pc.uid_personhead as UID_Person from PersonWantsOrg pwo join Person p on pwo.uid_personinserted = p.uid_person join Department d on p.uid_department = d.uid_department join ProfitCenter pc on d.uid_profitcenter = pc.uid_profitcenter where pwo.uid_personwantsorg = '@UID_PersonWantsOrg' Verzögerte Entscheidung einer Bestellung Um innerhalb des Genehmigungsverfahrens sicherzustellen, dass vor der Genehmigung einer Bestellung eine definierte Voraussetzung erfüllt ist, können Sie verzögerte Entscheidungen (Entscheidungsverfahren WC ) einsetzen. So sollte die Genehmigung einer Berechtigungsgruppe nur erfolgen können, wenn sichergestellt ist, dass auch ein entsprechendes Benutzerkonto existiert. Der Einsatz von verzögerten Entscheidungen bietet sich an, wenn zusätzlich die Überprüfung der Bestellungen hinsichtlich ihrer Regelkonformität erfolgt. Ist bei der Überprüfung bestellter Berechtigungsgruppen das Benutzerkonto nicht vorhanden, so würden mögliche Regelverletzungen durch die Bestellung nicht protokolliert werden. Durch eine entsprechend definierte Bedingung können Sie festlegen, welche Voraussetzungen erfüllt sein müssen, damit eine Bestellung zur Genehmigung vorgelegt wird. Die Bedingung wird als Funktionsaufruf ausgewertet. Syntax für den Funktionsaufruf MSSQL dbo.<funktionsname> Oracle <Datenbankschema-Name>.<Funktionsname> 63

Quest One Identity Manager Um zu prüfen, ob bei der Bestellung von Berechtigungsgruppen, das benötigte Benutzerkonto vorhanden ist, können Sie die mitgelieferte Funktion vi_f_pwogroupdecision verwenden. Aufruf der Funktion einer verzögerten Entscheidung Abhängig vom Rückgabewert der Funktion wird eine der folgenden Aktionen ausgeführt. Rückgabewert > 0: Das Benutzerkonto ist vorhanden, die Bedingung ist somit erfüllt. Die verzögerte Entscheidung wird positiv entschieden. Die Bestellung wird an den nächsten Entscheidungsschritt weitergereicht. Es muss nun ein Entscheidungsschritt folgen, über den die Entscheider für die Bestellung ermittelt werden. Rückgabewert = 0: Die Bedingung ist nicht erfüllt. Es gibt aber eine offene Bestellung für ein Benutzerkonto oder die Person besitzt eine Benutzerkontenressource, durch die ein Benutzerkonto entstehen könnte. Die Entscheidung wird daher zurückgestellt und beim nächsten Lauf des DBSchedulers erneut geprüft. Rückgabewert < 0: Die Bedingung ist nicht erfüllt. Das Benutzerkonto ist nicht vorhanden, es gibt keine offene Bestellung für ein Benutzerkonto und die Person besitzt auch keine Benutzerkontenressource aus der ein Benutzerkonto resultieren könnte. Die verzögerte Entscheidung wird negativ entschieden. Die Bestellung wird an den nächsten Entscheidungsschritt weitergereicht. Funktionen für weitere Anwendungsfälle können kundenspezifisch implementiert werden. Die Funktion muss als Parameter die UID der Bestellung (PersonWantsOrg.UID_PersonWantsOrg) akzeptieren. Der Ergebniswert muss ein Integer-Wert sein. Errechnete Entscheidung Unter Umständen kann es sich als sinnvoll erweisen, anhand einer definierte Bedingung zu bestimmen, wem die Bestellung zur Entscheidung vorgelegt werden soll. Liegt beispielsweise der Preis einer Bestellung unter einem definierten Limit, so kann der Abteilungsleiter die Entscheidung treffen. Bei Überschreitung des Preislimits ist die Bestellung dem Kostenstellenverantwortlichen zur Entscheidung vorzulegen. In einem anderen Anwendungsfall können Bestellungen von Mitarbeitern der Abteilung XY sofort genehmigt werden, sofern mit der Bestellung ein definiertes Preislimit nicht überschritten wird. Wird das Limit überschritten oder gehört der Mitarbeiter zu einer anderen Abteilung muss eine Genehmigung durch den Abteilungsleiter erfolgen. 64

Einrichten einer IT Shop-Lösung Für die Berechnung einer Entscheidung (Entscheidungsverfahren CD ) müssen Sie bei der Einrichtung des Entscheidungsschrittes eine Bedingung eingeben. Liefert die Bedingung ein Ergebnis, wird der Entscheidungsschritt durch den Identity Manager genehmigt. Liefert die Bedingung kein Ergebnis, wird der Entscheidungsschritt durch den Identity Manager abgelehnt. Folgen darauf keine weiteren Entscheidungsschritte wird die Bestellung endgültig genehmigt oder abgelehnt. Die Bedingung wird als gültige Where-Klausel für Datenbankabfragen definiert. Sie können diese direkt als SQL-Abfrage eingeben oder über einen Assistenten zusammenstellen. Die Bedingung wird immer für die aktuelle Bestellung (Tabelle PersonWantsOrg ) und den aktuellen Besteller geprüft ( @UID_PersonWantsOrg (SQL) bzw. v_uid_personwantsorg (Oracle) ). Beispiel für eine Bedingung: Bestellungen mit einem Preis unter 1000 Euro werden vom Abteilungsleiter des Bestellers entschieden. Bestellungen mit einem Preis über 1000 Euro werden dem Kostenstellenverantwortlichen des Bestellers vorgelegt. isnull(uid_org, '') in (Select UID_ITShopOrg From ITShopOrg Where isnull(uid_accproduct, '') In (Select UID_AccProduct From AccProduct Where isnull(purchaseprice, 0) < 1000)) Die zusammengesetzte Abfrage lautet dann: select 1 from Personwantsorg where (isnull(uid_org, '') in (Select UID_ITShopOrg From ITShopOrg Where isnull(uid_accproduct, '') In (Select UID_AccProduct From AccProduct Where isnull(purchaseprice, 0) < 1000))) and uid_personwantsorg = @uid_personwantsorg 65

Quest One Identity Manager Der mögliche Aufbau der Entscheidungsrichtlinie ist in der folgenden Abbildung dargestellt. Darstellung eines Entscheidungsschrittes mit errechneter Entscheidung Im Workfloweditor wird ein solcher Entscheidungsschritt mit einem speziellen Ebenenelement dargestellt. Für dieses Ebenenelement sind die im Abschnitt Arbeiten mit dem Workfloweditor auf Seite 47 beschriebenen Funktionen verfügbar. Extern vorzunehmende Entscheidung Wenn eine Bestellung genehmigt werden soll, sobald ein definiertes Ereignis außerhalb des Identity Managers eintritt, nutzen Sie die extern vorzunehmende Entscheidung (Entscheidungsverfahren EX ). Sie können dieses Verfahren auch nutzen, um Bestellungen durch Personen genehmigen zu lassen, die keinen Zugriff auf den Identity Manager haben. Im Entscheidungsschritt legen Sie ein Ereignis fest, das eine externe Entscheidung auslöst. Durch das Ereignis wird ein Prozess angestoßen, der die externe Entscheidung für die Bestellung initiiert und das Ergebnis der Entscheidung auswertet. Der Identity Manager wartet, bis das Ergebnis der externen Entscheidung an den Identity Manager übermittelt wird. Abhängig von dieser Entscheidung definieren Sie weitere Entscheidungsschritte. Um das Entscheidungsverfahren nutzen zu können, definieren Sie eigene Prozesse. Diese Prozesse müssen eine externe Entscheidung auslösen, die Ergebnisse der externen Entscheidung auswerten und daraufhin den externen Entscheidungsschritt im Identity Manager positiv oder negativ entscheiden. Als Basisobjekt für den Prozess geben Sie PersonWantsOrg an. Ist das externe Ereignis eingetreten, muss der Status des Entscheidungsschrittes im Identity Manager geändert werden. Nutzen Sie dafür die Prozessfunktion CallMethod mit der Methode MakeDecision. Übergeben Sie der Prozessfunktion folgende Parameter: MethodName: Value = "MakeDecision" ObjectType: Value = "PersonWantsOrg" Param1: Value = "sa" Param2: Value = <Entscheidung> ("true" = zugestimmt; "false" = abgelehnt) Param3: Value = <Begründung der Entscheidung> WhereClause: Value = "UID_PersonWantsOrg ='"& $UID_PersonWantsOrg$ &"'" 66

Einrichten einer IT Shop-Lösung Durch die Parameter legen Sie fest, welche Bestellung durch die externe Entscheidung entschieden werden soll (WhereClause). Parameter Param1 legt den Entscheider fest. Entscheider ist immer der Systembenutzer sa. Mit dem Parameter Param2 wird die Entscheidung übergeben. Wurde der Bestellung zugestimmt, muss der Wert true übergeben werden. Wurde die Bestellung abgelehnt, muss der Wert false übergeben werden. Über den Parameter Param3 übergeben Sie einen Begründungstext für die Entscheidung. Prozesse definieren und bearbeiten Sie mit dem Prozesseditor. Die Arbeit mit dem Prozesseditor ist im Abschnitt Prozessverarbeitung im Identity Manager auf Seite 35 im Handbuch Prozess-Orchestrierung beschrieben. Beispiel: Alle genehmigten Bestellungen sollen in einem externen Ticketsystem erfasst und ausgelöst werden. Ist eine Bestellung im externen Ticketsystem abgeschlossen, muss sie auch im Identity Manager abgeschlossen werden. Nutzen Sie das Entscheidungsverfahren für extern vorzunehmende Entscheidungen und definieren Sie: einen Prozess <P1>, der ein Ticket mit den Informationen zum bestellten Produkt im externen System erstellt und die Ticketnummer in den Bestellvorgang im Identity Manager übernimmt, ein Ereignis <E1>, das den Prozess <P1> auslöst, einen Prozess <P2>, der prüft, ob der Status des Tickets abgeschlossen ist und der im Identity Manager die Funktion CallMethod mit der Methode MakeDecision aufruft, ein Ereignis <E2>, das den Prozess <P2> auslöst, einen Zeitplan, der regelmäßig das Ereignis <E2> auslöst, Das Ereignis <E1> tragen Sie im Entscheidungsschritt im Eingabefeld <Ereignis> als Auslöser für die externe Entscheidung ein. Im Prozess <P1> übergeben Sie mittels Parameter Informationen zum bestellten Produkt und zum Kunden, für den das Produkt bestellt wird, an das externe Ticketsystem. In einem weiteren Parameter übergeben Sie die Ticketnummer aus dem externen Ticketsystem an den Identity Manager. Im Prozess <P2> überprüfen Sie anhand der Ticketnummer den Status des Tickets. Ist das Ticket abgeschlossen, rufen Sie die Methode MakeDecision auf und übergeben mittels Parameter den Status des Tickets aus dem externen Ticketsystem an den Identity Manager (Param2). In einem weiteren Parameter legen Sie den Systembenutzer fest, der den Status des Entscheidungsschrittes im Identity Manager ändert (Param1). Als Wert für diesen Parameter übergeben Sie sa. Den Begründungstext für die Entscheidung übergeben Sie im Parameter Param3. Besteller ermitteln Um die Entscheidung an den Besteller oder den Empfänger der Bestellung zurückzugeben, nutzen Sie die Entscheidungsverfahren BS und BR. Das Entscheidungsverfahren BS ermittelt den Besteller der Bestellung, das Entscheidungsverfahren BR ermitteltet den Empfänger der Bestellung. Der Besteller und der Empfänger der Bestellung können dadurch zusätzlich die Entscheidung beeinflussen. Ihre Entscheidung ist in der Genehmigungshistorie sichtbar. Der Entscheidungsworkflow kann mit einer beliebigen Entscheidungsebene fortgesetzt werden. Die Besteller werden auch dann ermittelt, wenn die Konfigurationsparameter QER\ITShop\PersonInsertedNoDecide und QER\ITShop\PersonOrderedNoDecide aktiviert sind. Weitere Informationen zu diesen Konfigurationsparamtern erhalten Sie im Abschnitt Genehmigung von Bestellungen eines Entscheiders auf Seite 71. Prüfen von Bestellungen auf Regelkonformität In den Entscheidungsworkflow können Sie die Prüfung der IT Shop Bestellungen auf Regelkonformität integrieren. Dafür wird ein separates Entscheidungsverfahren angeboten. Dieses Entscheidungsverfahren überprüft, ob der Kunde bei Genehmigung seiner Bestellungen bestehende Complianceregeln ver- 67

Quest One Identity Manager letzen würde.das Ergebnis der Überprüfung wird im Entscheidungsverlauf der Bestellung und in der Genehmigungshistorie protokolliert. Compliance Risiko Bewertung (Entscheidungsverfahren CR ) Überprüfung der aktuellen Bestellung auf mögliche Regelverletzungen. Berücksichtigt das bestellte Produkt und alle bereits zugewiesenen Unternehmensressourcen des Kunden. Lesen Sie dazu den Abschnitt Risikobewertung von Bestellungen auf Seite 68. Voraussetzungen für die Prüfung der Bestellungen sind die Definition eines Regelwerkes und die Erweiterung der Entscheidungsworkflows um eine Regelprüfung. Die Einrichtung von Complianceregeln im Rahmen des Identity Audits ist im Abschnitt Einrichten eines Regelwerkes auf Seite 797 im Handbuch Identity Management ausführlich beschrieben. Nachfolgend wird auf den Bestellablauf im Falle einer Regelprüfung und die Erweiterung der Entscheidungsworkflows eingegangen. Risikobewertung von Bestellungen Um einen Überblick über potentielle Regelverletzungen zu erhalten, können Sie eine Risikobewertung der Bestellungen erstellen. Dazu nutzen Sie die Compliance Risiko Bewertung (Entscheidungsverfahren CR ). Mit diesem Entscheidungsverfahren kann eine Vorprüfung der Bestellungen hinsichtlich möglicher Regelverletzungen erfolgen. Es wird keine vollständige Überprüfung der Bestellungen durchgeführt. Eine vollständige Prüfung der Zuweisungen wird mit der zyklischen Prüfung der Complianceregeln über Zeitpläne erreicht. Damit werden alle Regelverletzungen erkannt, die durch die Bestellungen entstanden sind. Lesen Sie dazu den Abschnitt Prüfen einer Regel auf Seite 825 im Handbuch Identity Management. In die Risikobewertung werden alle offenen Bestellungen eines Kunden einbezogen. Bei dieser Überprüfung werden alle Unternehmensressourcen, die dem Kunden bereits zugewiesen sind, berücksichtigt. Weiterhin fließen alle Benutzerkonten des Kunden sowie alle Berechtigungsgruppen, die der Kunde über diese Benutzerkonten erhalten hat, mit in die Überprüfung ein. Für die Risikobewertung werden regelmäßig berechnete Hilfstabellen für Objektzuordnungen ausgewertet. Das Entscheidungsverfahren erkennt damit keine Objekte, die der Kunde gegebenenfalls durch Vererbung über das bestellte Produkt erhalten würde. Außerdem berücksichtigt das Entscheidungsverfahren nur solche Complianceregeln, die über die vereinfachte Definition erstellt wurden. Ein weiterer Vorteil ist die Detaillierung der protokollierten Regelverletzungen. Hierbei kann nicht nur festgestellt werden, welche Regel eine Bestellung verletzt, sondern es kann ermittelt werden, welches Produkt der Bestellung die Regelverletzung verursacht. Damit ist eine detaillierte Auswertung der Regelverletzungen möglich. Für die Nutzung des Entscheidungsverfahrens innerhalb einer Entscheidungsrichtlinie gelten folgende Beschränkungen: Pro Entscheidungsrichtlinie können Sie nur einen Entscheidungsschritt mit dem Entscheidungsverfahren CR einfügen. Die nachfolgende Entscheidungsebene bei negativer Entscheidung darf nur einen Entscheidungsschritt zur Ermittlung der Ausnahmegenehmiger enthalten. Dazu lesen Sie auch den Abschnitt Ermitteln der Ausnahmegenehmiger auf Seite 70. Die Complianceprüfung und Ausnahmegenehmigung sollten als letzte Entscheidungsschritte in 68

Einrichten einer IT Shop-Lösung den Entscheidungsworkflow aufgenommen werden. Beispiel für einen Entscheidungsworkflow mit Risikobewertung mit Compliance Risiko Bewertung Wird ein Entscheidungsschritt zur Risikobewertung nach dem Entscheidungsverfahren CR erkannt, werden alle Produkte offener Bestellungen dem Kunden zugeordnet. Es wird also angenommen, dass alle offenen Bestellungen genehmigt würden und der Kunde somit die Produkte erhalten würde. Anschließend wird die aktuell verarbeitete Bestellung hinsichtlich potentieller Verstöße gegen die definierten Regeln analysiert. Wird keine Regelverletzung festgestellt, wird der Entscheidungsschritt automatisch positiv entschieden und die Bestellung an die Entscheider der nächsten Entscheidungsebene zur Genehmigung übergeben. Wird eine Regelverletzung festgestellt, wird der Entscheidungsschritt automatisch negativ entschieden. Sofern die Definition der verletzten Regel es zulässt, kann die Bestellung, per Ausnahmegenehmigung dennoch genehmigt werden. Die für eine Regelverletzung zuständigen Ausnahmegenehmiger definieren Sie bereits in der Regel. Damit die Ausnahmegenehmiger die Bestellung zur Entscheidung erhalten, verbinden Sie einen Entscheidungsschritt mit dem Verfahren OC oder OH mit dem Verbindungspunkt für die negative Entscheidung. Bei der Regelprüfung werden die festgelegten IT Shop Eigenschaften der einzelnen Regeln berücksichtigt. Für die Regelprüfung nach dem Entscheidungsverfahren CR gelten die folgenden Einschränkungen: Die Einstellung der IT Shop Eigenschaft der Regel <Nur aktuelle Bestellungen berücksichtigen> ist nicht relevant. Es werden alle offenen Bestellungen der Person berücksichtigt. Die Erkennung einer Regelverletzung richtet sich nach der Einstellung der Eigenschaft <Erkennung einer Regelverletzung>. Zur Konfiguration der Regeln lesen Sie den Abschnitt IT Shop Eigenschaften einer Regel auf Seite 810 im Handbuch Identity Management. Überprüfung der Bestellungen mit Selbstbedienung Die Selbstbedienung (Entscheidungsverfahren SB ) wird immer als einstufiges Verfahren definiert, das bedeutet zu einem Entscheidungsschritt für Selbstbedienung können Sie keinen weiteren Entscheidungsschritt einrichten. Um eine Überprüfung der Bestellungen mit Selbstbedienung hinsichtlich der Einhaltung der Regeln zu realisieren, reicht es jedoch aus, eine Entscheidungsrichtlinie bestehend aus einem Entscheidungsschritt zur Regelprüfung (Entscheidungsverfahren CR ) zu erstellen. Bei positiv 69

Quest One Identity Manager durchlaufener Regelprüfung wird die Bestellung genehmigt und somit eine implizite Selbstbedienung erreicht. Ermitteln der Ausnahmegenehmiger Konfigurationsparameter für die Genehmigung von Bestellungen mit Regelverletzungen KONFIGURATIONSPARAMETER QER\ITShop\PersonInsertedNoDecide- Compliance QER\ITShop\PersonOrderedNoDecide- Compliance QER\ComplianceCheck\DisableSelfExceptionGranting BEDEUTUNG Der Konfigurationsparameter legt fest, ob die Person, die eine Bestellung auslöst, diese auch entscheiden darf, wenn durch die Bestellung Complianceregeln verletzt werden. Der Konfigurationsparameter legt fest, ob die Person, für die eine Bestellung auslöst wird, diese auch entscheiden darf, wenn durch die Bestellung Complianceregeln verletzt werden. Ausschluss eines Regelverletzers aus dem Kreis der Ausnahmegenehmiger. Wenn der Konfigurationsparameter aktiviert ist, darf niemand seine eigene Regelverletzung genehmigen. Eine Bestellung, die eine Regelverletzung zur Folge hat, kann per Ausnahmegenehmigung dennoch genehmigt werden. Dazu müssen Sie an der Regel die zuständigen Ausnahmegenehmiger definieren. Welche Regelverletzungen einem Ausnahmegenehmiger vorgelegt werden, konfigurieren Sie ebenfalls pro Regel über die Eigenschaft <Explizite Ausnahmegenehmigung>. Zur Konfiguration der Regeln lesen Sie den Abschnitt Erstellen und Bearbeiten von Regeln auf Seite 803 im Handbuch Identity Management. Welche Ausnahmegenehmiger letztendlich die Entscheidung treffen, kann über zwei Entscheidungsverfahren ermittelt werden. Wenden Sie diese Entscheidungsverfahren nur unmittelbar nach einer Entscheidungsebene mit dem Entscheidungsverfahren CR an. Die Entscheidungsverfahren sind: 1. Entscheidungsverfahren OC (Ausnahmegenehmiger der verletzten Regeln) Die Entscheidung wird von den Ausnahmegenehmigern der verletzten Regel getroffen. Da mit einer Bestellung durchaus mehrere Regeln verletzt werden können, wird die Bestellung allen Ausnahmegenehmigern parallel vorgelegt. Eine Ablehnung der Ausnahmegenehmigung durch einen der Ausnahmegenehmiger führt zur Ablehnung der Bestellung. 2. Entscheidungsverfahren OH (Ausnahmegenehmiger der schwersten Regelverletzung) Die Entscheidung wird durch die Ausnahmegenehmiger der Regel mit dem höchsten Gefährdungsgrad getroffen. Damit kann bei Verletzung mehrerer Regeln durch eine Bestellung das Verfahren der Ausnahmegenehmigung verkürzt werden. Für dieses Entscheidungsverfahren müssen Sie sicherstellen, dass: der Gefährdungsgrad in den Bewertungskriterien aller Complianceregeln festgelegt ist, die Ausnahmegenehmiger für die höchste Regelverletzung in allen betroffenen Regeln zu den Ausnahmegenehmigern gehören. Entgegen dem sonst angewendeten Verantwortlicher/Stellvertreter-Prinzip ist der Stellvertreter eines Ausnahmegenehmigers selbst nicht berechtigt eine Ausnahmegenehmigung zu erteilen. Für Ausnahmegenehmiger muss geregelt werden, ob sie ihre eigenen Bestellungen entscheiden dürfen. Das gewünschte Verhalten legen Sie über die Konfigurationsparameter QER\ITShop\PersonOrderedNo- DecideCompliance und QER\ITShop\PersonInsertedNoDecideCompliance fest. Dabei wird verhindert, 70

Einrichten einer IT Shop-Lösung dass die Hauptidentität des Bestellers (beziehungsweise des Empfängers der Bestellung) und ihre Subidentäten eine Ausnahmegenehmigung erteilen können. Um zu verhindern, dass ein Ausnahmegenehmiger seine eigenen Bestellungen entscheiden darf Aktivieren Sie den Konfigurationsparameter QER\ITShop\PersonOrderedNoDecideCompliance. Der Konfigurationsparameter wirkt auf die Bestellungen, die ein Ausnahmegenehmiger für sich selbst bestellt hat sowie auf alle Bestellungen, die eine andere Person für ihn bestellt hat. Wenn der Konfigurationsparameter nicht aktiviert ist, dann ist der Ausnahmegenehmiger auch für seine eigenen Bestellungen entscheidungsberechtigt. Seine Bestellung wird ihm dann selbst zur Genehmigung vorgelegt. Um zu verhindern, dass ein Ausnahmegenehmiger Bestellungen, die er für sich oder für andere Kunden ausgelöst hat, entscheiden kann Aktivieren Sie den Konfigurationsparameter QER\ITShop\PersonInsertedNoDecideCompliance. Wenn der Konfigurationsparameter nicht aktiviert ist, dann ist der Ausnahmegenehmiger auch für diese Bestellungen entscheidungsberechtigt. Für Ausnahmegenehmiger muss außerdem geregelt werden, ob sie ihre eigenen Regelverletzungen genehmigen dürfen. Standardmäßig wird eine Person, die eine Regel verletzt, für diese Regel als Ausnahmegenehmiger ermittelt, wenn sie Mitglied der Anwendungsrolle <Ausnahmegenehmiger> für diese Regel ist. Damit kann sie sich eigene Regelverletzungen genehmigen. Um zu verhindern, dass eine Person sich selbst eine Ausnahmegenehmigung erteilt Aktivieren Sie den Konfigurationsparameter QER\ComplianceCheck\DisableSelfException- Granting. Personen, die eine Regel verletzen, werden nicht als Ausnahmegenehmiger für diese Regelverletzung ermittelt. Genehmigung von Bestellungen eines Entscheiders Konfigurationsparameter für die Genehmigung von Bestellungen eines Entscheiders KONFIGURATIONSPARAMETER QER\ITShop\PersonInsertedNoDecide QER\ITShop\PersonOrderedNoDecide QER\ITShop\PersonInsertedNoDecide- Compliance QER\ITShop\PersonOrderedNoDecide- Compliance BEDEUTUNG Der Konfigurationsparameter legt fest, ob die Person, die eine Bestellung auslöst, diese auch entscheiden darf. Der Konfigurationsparameter legt fest, ob die Person, für die eine Bestellung auslöst wird, diese auch entscheiden darf. Der Konfigurationsparameter legt fest, ob die Person, die eine Bestellung auslöst, diese auch entscheiden darf, wenn durch die Bestellung Complianceregeln verletzt werden. Der Konfigurationsparameter legt fest, ob die Person, für die eine Bestellung auslöst wird, diese auch entscheiden darf, wenn durch die Bestellung Complianceregeln verletzt werden. Für Kunden eines Shops, die gleichzeitig auch Entscheider über die Bestellungen dieses Shops sind, muss geregelt werden, ob sie ihre eigenen Bestellungen genehmigen dürfen. Da Entscheider auch für andere Kunden ihres Verantwortungsbereiches Bestellungen auslösen können, muss zusätzlich geklärt werden, wie diese Bestellungen innerhalb des Genehmigungsverfahrens zu behandeln sind. 71

Quest One Identity Manager Mit der Aktivierung des Konfigurationsparameters QER\ITShop\PersonOrderedNoDecide verhindern Sie, dass ein Entscheider über seine eigenen Bestellungen entscheiden darf. Der Konfigurationsparameter wirkt auf die Bestellungen, die ein Entscheider für sich selbst bestellt hat sowie auf alle Bestellungen, die ein anderer Entscheider für ihn bestellt hat. Folgende Personen werden aus dem Kreis der Entscheider entfernt: der Empfänger der Bestellung die Hauptidentität des Empfängers alle Subidentitäten dieser Hauptidentität Ist der Konfigurationsparameter nicht aktiviert, dann ist der Entscheider auch für seine eigenen Bestellungen entscheidungsberechtigt. Seine Bestellung wird ihm dann selbst zur Genehmigung vorgelegt. Um zu verhindern, dass ein Entscheider Bestellungen, die er für sich oder für andere Kunden ausgelöst hat, entscheiden kann, aktivieren Sie den Konfigurationsparameter QER\ITShop\PersonInsertedNoDecide. Folgende Personen werden aus dem Kreis der Entscheider entfernt: der Besteller die Hauptidentität des Bestellers alle Subidentitäten dieser Hauptidentität Ist der Konfigurationsparameter nicht aktiviert, so ist der Entscheider auch für diese Bestellungen entscheidungsberechtigt. Beispiel: Der Abteilungsleiter löst für seinen Stellvertreter eine Bestellung aus. Beide Personen werden durch das Entscheidungsverfahren als Entscheider ermittelt. Um zu verhindern, dass der Abteilungsleiter die Bestellung genehmigen kann, aktivieren Sie den Parameter QER\ITShop\PersonInsertedNoDecide. Um zu verhindern, dass der Stellvertreter die Bestellung genehmigen kann, aktivieren Sie den Parameter QER\ITShop\PersonOrderedNoDecide. Die Konfigurationsparameter haben keinen Einfluss auf die Entscheidungsverfahren BS und BR. Diese Entscheidungsverfahren ermitteln den Besteller und den Empfänger der Bestellung auch dann, wenn die Konfigurationsparameter aktiviert sind. Für weitere Informationen zu diesen Entscheidungsverfahren lesen Sie den Abschnitt Besteller ermitteln auf Seite 67. Analog dazu legen Sie fest, ob Ausnahmegenehmiger ihre eigenen Bestellungen genehmigen dürfen, wenn durch die Bestellung Complianceregeln verletzt werden. Dabei wird verhindert, dass die Hauptidentität des Bestellers (beziehungsweise des Empfängers der Bestellung) und ihre Subidentäten eine Ausnahmegenehmigung erteilen können. Um zu verhindern, dass ein Ausnahmegenehmiger seine eigenen Bestellungen entscheiden darf Aktivieren Sie den Konfigurationsparameter QER\ITShop\PersonOrderedNoDecideCompliance. Der Konfigurationsparameter wirkt auf die Bestellungen, die ein Ausnahmegenehmiger für sich selbst bestellt hat sowie auf alle Bestellungen, die eine andere Person für ihn bestellt hat. Wenn der Konfigurationsparameter nicht aktiviert ist, dann ist der Ausnahmegenehmiger auch für seine eigenen Bestellungen entscheidungsberechtigt. Seine Bestellung wird ihm dann selbst zur Genehmigung vorgelegt. 72

Einrichten einer IT Shop-Lösung Um zu verhindern, dass ein Ausnahmegenehmiger Bestellungen, die er für sich oder für andere Kunden ausgelöst hat, entscheiden kann Aktivieren Sie den Konfigurationsparameter QER\ITShop\PersonInsertedNoDecideCompliance. Wenn der Konfigurationsparameter nicht aktiviert ist, dann ist der Ausnahmegenehmiger auch für diese Bestellungen entscheidungsberechtigt. Detaillierte Informationen zur Behandlung von Regelverletzungen durch Bestellungen erhalten Sie im Abschnitt Prüfen von Bestellungen auf Regelkonformität auf Seite 67. Automatische Entscheidung von Bestellungen Konfigurationsparameter für die automatische Entscheidung von Bestellungen KONFIGURATIONSPARAMETER QER\ITShop\AutoDecision QER\ITShop\DecisionOnInsert QER\ITShop\ReuseDecision BEDEUTUNG Der Konfigurationsparameter regelt die automatische Entscheidung von IT Shop-Bestellungen über mehrere Entscheidungsebenen. Der Konfigurationsparameter regelt die Entscheidung einer Bestellung bereits beim Einfügen der Bestellung. Der Konfigurationsparameter gibt an, ob die Entscheidung eines Entscheiders für alle durch ihn entscheidbaren Schritte im Verlauf einer Genehmigung übernommen werden soll. Bei der Einrichtung mehrstufiger Entscheidungsrichtlinien kann es vorkommen, dass ein Verantwortlicher auf mehreren Entscheidungsebenen entscheidungsberechtigt ist. Damit er eine Bestellung nicht mehrfach vorgelegt bekommt, können Sie die automatische Entscheidung zulassen. Nutzen Sie den Konfigurationsparameter QER\ITShop\AutoDecision um zuzulassen, dass die Entscheidungen eines Entscheiders in mehreren aufeinander folgenden Entscheidungsebenen automatisch getroffen werden. Ist der Konfigurationsparameter aktiviert und der Wert des Parameters AllStepsNo- Jump, wird die Entscheidung der ersten Entscheidungsebene für alle unmittelbar nachfolgenden Entscheidungsebenen, für die der Entscheider entscheidungsberechtigt ist, übernommen. Ist der Konfigurationsparameter deaktiviert, kann der Entscheider nur den aktuellen Entscheidungsschritt entscheiden. Die Bestellung wird ihm auf der nächsten Entscheidungsebene wieder vorgelegt. Wenn am Entscheidungsschritt die Option <Keine automatische Entscheidung> aktiviert ist, wird der Konfigurationsparameter QER\ITShop\AutoDecision nicht berücksichtigt. Die Bestellung wird in jedem Fall den Entscheidern dieses Entscheidungsschrittes vorgelegt. Um zu erreichen, dass die Entscheidungen eines Entscheiders auch für alle nicht aufeinander folgende Entscheidungsebenen automatisch übernommen werden, nutzen Sie den Konfigurationsparameter QER\ITShop\ReuseDecision. Ist der Konfigurationsparameter aktiviert, so wird die aktuelle Entscheidung aus einem früheren Entscheidungsschritt übernommen. Ist der Konfigurationsparameter nicht aktiviert, muss der Entscheider auf der aktuellen Entscheidungsebene nochmals genehmigen. Bei der Aktivierung des Konfigurationsparameters ist jedoch Vorsicht geboten. Ist der Entscheider gleichzeitig ein Ausnahmegenehmiger für verletzte Complianceregeln, so wird ihm die Bestellung bei Verstoß gegen die 73

Quest One Identity Manager Complianceregeln nicht zur Ausnahmegenehmigung vorgelegt, sondern ebenfalls automatisch entschieden. Wenn am Entscheidungsschritt die Option <Keine automatische Entscheidung> aktiviert ist, wird der Konfigurationsparameter QER\ITShop\ReuseDecision nicht berücksichtigt. Die Bestellung wird in jedem Fall den Entscheidern dieses Entscheidungsschrittes vorgelegt. Ein Entscheider kann selbst Kunde in einem Shop sein und somit für sich selbst Bestellungen auslösen. Zusätzlich hat der Entscheider die Möglichkeit für andere Kunden Bestellungen auszulösen. Wenn ein Besteller gleichzeitig Entscheider für eine Bestellung ist, sollen seine Entscheidungsschritte sofort positiv entschieden werden. Aktivieren Sie dafür den Konfigurationsparameter QER\ITShop\DecisionOnInsert. Ist der Konfigurationsparameter nicht aktiviert, so muss der Entscheider, nachdem er die Bestellung ausgelöst hat, nochmals manuell entscheiden. Wenn am Entscheidungsschritt die Option <Keine automatische Entscheidung> aktiviert ist, wird der Konfigurationsparameter QER\ITShop\DecisionOnInsert nicht berücksichtigt. Die Bestellung wird in jedem Fall den Entscheidern dieses Entscheidungsschrittes vorgelegt. Um zu verhindern, dass ein Entscheider über die von ihm eingestellten Bestellungen entscheiden darf, nutzen Sie den Konfigurationsparameter QER\ITShop\PersonInsertedNoDecide. Lesen Sie dazu den Abschnitt Genehmigung von Bestellungen eines Entscheiders auf Seite 71. Einholen weiterer Informationen zur Bestellung durch einen Entscheider Ein Entscheider hat die Möglichkeit weitere Informationen zu einer Bestellung einzuholen. Diese Nachfragemöglichkeit ersetzt jedoch nicht die Genehmigung oder Ablehnung einer Bestellung. Zur Informationseinholung ist kein zusätzlicher Entscheidungsschritt in einem Entscheidungsworkflow erforderlich. Der Entscheider kann eine Anfrage an jede beliebige Person stellen. Die Bestellung erhält für den Zeitpunkt der Anfrage einen Hold-Status. Sobald die angefragte Person die benötigten Informationen geliefert hat und der Entscheider die Bestellung entschieden hat, wird der Hold-Status der Bestellung wieder aufgehoben. Der Entscheider kann eine offene Anfrage jederzeit zurückrufen. Der Hold-Status wird dadurch aufgehoben. Die Anfrage des Entscheiders und die Antwort der angefragten Person werden im Entscheidungsverlauf aufgezeichnet und stehen somit dem Entscheider zur Verfügung. Wenn der Entscheider, der eine Anfrage gestellt hat, als Entscheider entfällt, wird der Hold-Status aufgehoben. Die angefragte Person muss nicht mehr antworten. Der Bestellvorgang wird fortgesetzt. Andere Entscheider beauftragen Sobald eine Entscheidungsebene im Entscheidungsverlauf erreicht ist, können die Entscheider dieser Entscheidungsebene eine andere Person mit der Entscheidung beauftragen. Dafür stehen folgende Möglichkeiten zur Verfügung. Das gewünschte Verhalten wird am Entscheidungsworkflow konfiguriert. Entscheidung umleiten 74

Einrichten einer IT Shop-Lösung Der Entscheider beauftragt eine andere Entscheidungsebene mit der Entscheidung. Erstellen Sie dafür eine Verbindung zu der Entscheidungsebene, an die eine Entscheidung umgeleitet werden kann. Zur Konfiguration dieses Verhaltens lesen Sie den Abschnitt Entscheidungsebenen verbinden auf Seite 54. Zusätzlichen Entscheider beauftragen Der Entscheider beauftragt eine weitere Person mit der Entscheidung. Dabei wird ein zusätzlicher Entscheidungsschritt zur aktuellen Entscheidungsebene hinzugefügt. Der weitere Entscheider muss zusätzlich zu den bereits ermittelten Entscheidern entscheiden. Der zusätzliche Entscheider kann die Entscheidung verweigern und den Entscheidungsvorgang an den ursprünglichen Entscheider zurückgeben. Der ursprüngliche Entscheider kann einen anderen zusätzlichen Entscheider beauftragen. Zur Konfiguration dieses Verhaltens lesen Sie den Abschnitt Entscheidungsebenen und Entscheidungsschritte bearbeiten auf Seite 50. Entscheidung delegieren Der Entscheider beauftragt eine andere Person mit der Entscheidung. Diese Person wird als Entscheider in den aktuellen Entscheidungsschritt aufgenommen. Sie entscheidet anstelle des delegierenden Entscheiders. Der aktuelle Entscheider kann die Entscheidung verweigern und den Entscheidungsvorgang an den ursprünglichen Entscheider zurückgeben. Der ursprüngliche Entscheider kann eine Delegierung zurücknehmen und an eine andere Person delegieren, beispielsweise wenn der andere Entscheider nicht verfügbar ist. Zur Konfiguration dieses Verhaltens lesen Sie den Abschnitt Entscheidungsebenen und Entscheidungsschritte bearbeiten auf Seite 50. Um den anderen Entscheider per E-Mail darüber zu benachrichtigen, dass neue Entscheidungen für ihn anstehen, konfigurieren Sie das Benachrichtigungsverfahren, wie im Abschnitt Delegierung einer Entscheidung auf Seite 83 beschrieben. Um den ursprünglichen Entscheider darüber zu benachrichtigen, dass die Entscheidung verweigert wurde, konfigurieren Sie das Benachrichtigungsverfahren, wie im Abschnitt Zurückweisen einer Entscheidung auf Seite 83 beschrieben. Um den ursprünglichen Entscheider darüber zu benachrichtigen, dass die Bestellung entschieden wurde, konfigurieren Sie das Benachrichtigungsverfahren, wie im Abschnitt Entscheidung einer Bestellung durch einen zusätzlichen Entscheider auf Seite 85 beschrieben. Wie Sie andere Entscheider in einer offenen Bestellung beauftragen, lesen Sie in der Web Portal Anwenderdokumentation. Eskalieren eines Entscheidungsschrittes Entscheidungen können bei Überschreitung eines festgelegten Zeitraumes automatisch eskaliert werden. Die Bestellung wird einem weiteren Entscheiderkreis vorlegt. Anschließend kann die Bestellung wieder im normalen Entscheidungsworkflow weiter bearbeitet werden. Für die Eskalation einer Bestellung nehmen Sie folgende Anpassungen am Entscheidungsworkflow vor: 1. Richten Sie eine zusätzliche Entscheidungsebene mit einem Entscheidungsschritt zur Eskalation ein. 2. Verbinden Sie den Entscheidungsschritt, der bei Zeitüberschreitung eskaliert werden soll, mit dem neuen Entscheidungsschritt. Nutzen Sie dazu im Workfloweditor den Verbindungspunkt 75

Quest One Identity Manager für Eskalation. Beispiel für Entscheidungsworkflow mit Eskalation 3. Konfigurieren Sie am Entscheidungsschritt, der bei Zeitüberschreitung eskaliert werden soll, das Verhalten. Verwenden Sie dazu die Eigenschaften: Timeout (Arbeitsstunden) Tragen Sie die Anzahl der Arbeitsstunden an, nach deren Ablauf der Entscheidungsschritt automatisch eskaliert wird. Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Personen ein Bundesland und/oder ein Bundesstaat eingetragen ist. Weitere Informationen erhalten Sie im Abschnitt Ermitteln der Arbeitszeit einer Person auf Seite 79 im Handbuch Identity Management. Verhalten bei Timeout Wählen Sie, mit welcher Aktion der Entscheidungsschritt im Falle einer Zeitüberschreitung ausgeführt wird. Mögliche Verfahren für automatische Entscheidung bei Zeitüberschreitung VERFAHREN Eskalation BESCHREIBUNG Der Bestellprozess wird eskaliert. Es wird der Entscheidungsschritt zur Eskalation aufgerufen. Um den Entscheider per E-Mail darüber zu benachrichtigen, dass neue Entscheidungen für ihn anstehen, konfigurieren Sie das Benachrichtigungsverfahren, wie im Abschnitt Aufforderung zur Entscheidung auf Seite 80 beschrieben. Der Besteller erhält bei Eskalation seiner Bestellung eine E-Mail Benachrichtigung. Die Benachrichtigung des Bestellers konfigurieren Sie wie im Abschnitt Eskalation einer Bestellung auf Seite 83 beschrieben. 76

Einrichten einer IT Shop-Lösung Automatische Entscheidung bei Zeitüberschreitung Bestellungen können bei Überschreitung eines festgelegten Zeitraumes automatisch entschieden werden. Zur Konfiguration dieses Verhaltens, erfassen Sie am Entscheidungsschritt folgende Daten: Timeout (Arbeitsstunden) Tragen Sie die Anzahl der Arbeitsstunden an, nach deren Ablauf der Entscheidungsschritt automatisch entschieden wird. Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Personen ein Bundesland und/oder ein Bundesstaat eingetragen ist. Weitere Informationen erhalten Sie im Abschnitt Ermitteln der Arbeitszeit einer Person auf Seite 79 im Handbuch Identity Management. Verhalten bei Timeout Wählen Sie mit welcher Aktion der Entscheidungsschritt im Falle einer Zeitüberschreitung ausgeführt wird. Mögliche Verfahren für automatische Entscheidung bei Zeitüberschreitung VERFAHREN Genehmigung Ablehnung BESCHREIBUNG Die Bestellung wird in diesem Entscheidungsschritt genehmigt. Es wird der nächsten Entscheidungsschritt aufgerufen. Die Bestellung wird in diesem Entscheidungsschritt abgelehnt. Es wird der nächsten Entscheidungsschritt aufgerufen. Der Besteller erhält bei Entscheidung seiner Bestellung eine E-Mail Benachrichtigung. Die Benachrichtigung des Bestellers konfigurieren Sie wie im Abschnitt Genehmigung oder Ablehnung einer Bestellung auf Seite 82 beschrieben. Abbruch einer Bestellung bei Zeitüberschreitung Bestellungen können bei Überschreitung eines festgelegten Zeitraumes automatisch abgebrochen werden. Der Abbruch kann erfolgen, wenn ein einzelner Entscheidungsschritt oder das gesamte Genehmigungsverfahren einen bestimmten Zeitraum überschreitet. Für Abbruch nach Zeitüberschreitung eines einzelnen Entscheidungsschrittes erfassen Sie am Entscheidungsschritt die folgenden Daten: Timeout (Arbeitsstunden) Tragen Sie die Anzahl der Arbeitsstunden an, nach deren Ablauf der Entscheidungsschritt automatisch abgebrochen wird. Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Personen ein Bundesland und/oder ein Bundesstaat eingetragen ist. Weitere Informationen erhalten Sie im Abschnitt Ermitteln der Arbeitszeit einer Person auf Seite 79 im Handbuch Identity Management. Verhalten bei Timeout 77

Quest One Identity Manager Wählen Sie in der Auswahlliste, mit welcher Aktion der Entscheidungsschritt im Falle einer Zeitüberschreitung ausgeführt wird. Verfahren für Abbruch einer Bestellung bei Zeitüberschreitung VERFAHREN Abbruch BESCHREIBUNG Der gesamte Entscheidungsworkflow für die Bestellung wird abgebrochen. Für Abbruch nach Zeitüberschreitung des gesamten Genehmigungsverfahrens erfassen Sie am Entscheidungsworkflow die folgenden Daten: Systemabbruch (Tage) Tragen Sie die Anzahl der Tage ein, nach deren Ablauf der Entscheidungsworkflow automatisch durch das System beendet wird. Der Besteller erhält bei Abbruch seiner Bestellung eine E-Mail Benachrichtigung. Die Benachrichtigung des Bestellers konfigurieren Sie wie im Abschnitt Abbruch einer Bestellung auf Seite 83 beschrieben. 78

Einrichten einer IT Shop-Lösung Benachrichtigungen im Bestellprozess Konfigurationsparameter für Benachrichtigungen KONFIGURATIONSPARAMETER Common\MailNotification\DefaultCulture Common\MailNotification\SMTP- Account Common\MailNotification\SMTPDomain Common\MailNotification\SMTPPort Common\MailNotification\SMTPRelay Common\MailNotification\SMTPPassword Common\MailNotification\SMTPUse- DefaultCredentials QER\ITShop\DefaultSenderAddress BEDEUTUNG Der Konfigurationsparameter enthält die Standardsprachkultur, in der E-Mail Benachrichtigungen versendet werden, wenn für einen Empfänger keine Sprachkultur ermittelt werden kann. Name des Benutzerkontos zur Authentifizierung am SMTP Server. Domäne des Benutzerkontos zur Authentifizierung am SMTP Server. Kennwort des Benutzerkontos zur Authentifizierung am SMTP Server. Port des SMTP-Dienstes auf dem SMTP Server (Standard: 25). SMTP Server zum Versenden von Benachrichtigungen. Ist der Konfigurationsparameter aktiviert, werden zur Authentifizierung am SMTP Server die Credentials des Identity Manager Services verwendet. Ist der Konfigurationsparameter nicht aktiviert werden die in den Konfigurationsparametern "Common\MailNotification\SMTPDomain" und "Common\MailNotification\SMTPAccount" bzw. "Common\MailNotification\SMTPPassword" hinterlegten Anmeldeinformationen verwendet werden. Der Konfigurationsparameter enthält die Absender E-Mail Adresse für automatisch generierte Benachrichtigungen innerhalb des IT Shops. Bei Änderungen einer Bestellung innerhalb des Bestellprozesses werden verschiedene E-Mail Benachrichtigungen an Besteller und Entscheider versendet. Die Benachrichtigungsverfahren nutzen Mailvorlagen zur Erzeugung der Benachrichtigungen. In einer Mailvorlage sind die Mailtexte in verschiedenen Sprachen definiert. Somit wird bei Generierung einer E-Mail-Benachrichtigung die Sprache des Empfängers berücksichtigt. In der Standardinstallation sind bereits Mailvorlagen enthalten, die Sie zur Konfiguration der Benachrichtigungsverfahren verwenden können. Zur Einrichtung kundenspezifischer Mailvorlagen lesen Sie den Abschnitt Erstellen kundenspezifischer Mailvorlagen für Benachrichtigungen auf Seite 120. Um Benachrichtigungen im Bestellprozess zu nutzen, sind folgende Voraussetzungen zu erfüllen: Aktivieren Sie den Konfigurationsparameter QER\ITShop\DefaultSenderAddress und tragen Sie die Absenderadresse ein, mit der die E-Mail Benachrichtigungen verschickt werden. Stellen Sie sicher, dass alle Personen eine Standard-E-Mail Adresse besitzen. An diese E-Mail Adresse werden die Benachrichtigungen versendet. Lesen Sie dazu auch den Abschnitt Sonstige Personenstammdaten auf Seite 74 im Handbuch Identity Management. Stellen Sie sicher, dass für alle Personen eine Sprachkultur ermittelt werden kann. Nur so erhalten die Personen die E-Mail Benachrichtigungen in ihrer Sprache. Lesen Sie dazu den Abschnitt Ermitteln der Sprache einer Person auf Seite 79 im Handbuch Identity Management. Konfigurieren Sie die Benachrichtigungsverfahren wie nachfolgend beschrieben. 79

Quest One Identity Manager Aufforderung zur Entscheidung Bestellt ein Kunde ein Produkt, dann erhält der Entscheider eine Benachrichtigung, dass neue Entscheidungen für ihn anstehen. Für dieses Benachrichtigungsverfahren erfassen Sie am Entscheidungsschritt die folgenden Daten: 1. Mailvorlage Aufforderung Wählen Sie die Mailvorlage IT Shop Bestellung - Aufforderung zur Entscheidung. Wenn Sie Entscheidung per E-Mail zulassen, wählen Sie die Mailvorlage IT Shop Bestellung - Aufforderung zur Entscheidung (per E-Mail). Wie Sie die Entscheidung per E-Mail einrichten, lesen Sie im Abschnitt Entscheidung per E-Mail auf Seite 93. Um eine allgemeine Benachrichtigung zu versenden, wenn offene Bestellungen vorliegen, können Sie die zeitgesteuerte Aufforderung zur Entscheidung konfigurieren. Damit werden die einzelnen Aufforderungen zur Entscheidung an den Entscheidungsschritten ersetzt. Einzelne Aufforderungen zur Entscheidung werden nur versendet, wenn der Konfigurationsparameter QER\ITShop\MailTemplateIdents\RequestApproverByCollection deaktiviert ist. Für weitere Informationen lesen Sie den Abschnitt Zeitgesteuerte Aufforderung zur Entscheidung auf Seite 81. Erinnerung der Entscheider Hat ein Entscheider nach Ablauf eines festgelegten Erinnerungsintervalls noch nicht über eine Bestellung entschieden, kann er eine Erinnerungsbenachrichtigung erhalten. Für dieses Benachrichtigungsverfahren erfassen Sie am Entscheidungsschritt die folgenden Daten: 1. Erinnerungsintervall (Arbeitsstunden) Tragen Sie die Anzahl der Arbeitsstunden ein, nach deren Ablauf eine Entscheider per E-Mail Benachrichtigung erinnert wird, dass noch offene Bestellungen zur Genehmigung vorliegen. Für die Ermittlung der gültigen Arbeitszeiten stellen Sie sicher, dass in den Stammdaten der Personen ein Bundesland und/oder ein Bundesstaat eingetragen ist. Weitere Informationen erhalten Sie im Abschnitt Ermitteln der Arbeitszeit einer Person auf Seite 79 im Handbuch Identity Management. 2. Mailvorlage Erinnerung Wählen Sie die Mailvorlage IT Shop Bestellung - Erinnerung Entscheider. Wenn Sie Entscheidung per E-Mail zulassen, wählen Sie die Mailvorlage IT Shop Bestellung - Erinnerung Entscheider (per E-Mail). Wie Sie die Entscheidung per E-Mail einrichten, lesen Sie im Abschnitt Entscheidung per 80

Einrichten einer IT Shop-Lösung E-Mail auf Seite 93. Um eine allgemeine Benachrichtigung zu versenden, wenn offene Bestellungen vorliegen, können Sie die zeitgesteuerte Aufforderung zur Entscheidung konfigurieren. Damit werden die einzelnen Aufforderungen zur Entscheidung an den Entscheidungsschritten ersetzt. Einzelne Aufforderungen zur Entscheidung werden nur versendet, wenn der Konfigurationsparameter QER\ITShop\MailTemplateIdents\RequestApproverByCollection deaktiviert ist. Für weitere Informationen lesen Sie den Abschnitt Zeitgesteuerte Aufforderung zur Entscheidung auf Seite 81. Zeitgesteuerte Aufforderung zur Entscheidung Werkzeug: Designer Konfigurationsparameter für zeitgesteuerte Benachrichtigungen von Entscheidern KONFIGURATIONSPARAMETER QER\ITShop\MailTemplateIdents\Requ estapproverbycollection BEDEUTUNG Mailvorlage, die genutzt wird, um eine Benachrichtigung an einen Entscheider zu versenden, dass noch offene Bestellungen vorliegen. Wenn der Konfigurationsparameter nicht aktiviert ist, kann für einzelne Entscheidungsschritte eine "Mailvorlage Aufforderung" bzw. "Mailvorlage Erinnerung" angegeben werden, welche für jede einzelne Bestellung versendet wird. Ist der Konfigurationsparameter aktiviert, werden keine Einzelbenachrichtigungen versendet. Entscheider können regelmäßig darüber benachrichtigt werden, wenn für sie offene Bestellungen vorliegen. Diese regelmäßigen Benachrichtigungen ersetzen die einzelnen Aufforderungen und Erinnerungen zur Entscheidung, die am Entscheidungsschritt konfiguriert werden. Um regelmäßige Benachrichtigungen zu versenden, wenn offene Bestellungen vorliegen 1. Aktivieren Sie den Konfigurationsparameter QER\IT Shop\MailTemplateIdents\RequestApproverByCollection. Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage IT Shop Bestellung - ausstehende Anträge für Entscheider versendet. Um andere als die Standardmailvorlagen für diese Benachrichtigungen zu nutzen, ändern Sie den Wert der Konfigurationsparameter. Wie Sie Konfigurationsparameter bearbeiten, lesen Sie im Handbuch Konfiguration, im Abschnitt Eigenschaften der Konfigurationsparameter auf Seite 271. 2. Konfigurieren und aktivieren Sie den Zeitplan Entscheider über ausstehende Bestellungen informieren. Wie Sie Zeitpläne bearbeiten lesen Sie im Handbuch Konfiguration, im Abschnitt Einrichten und Konfigurieren von Zeitplänen auf Seite 273. 81

Quest One Identity Manager Ablauf einer befristeten Bestellung Konfigurationsparameter für die Erinnerung von Entscheidern KONFIGURATIONSPARAMETER QER\ITShop\ValidityWarning BEDEUTUNG Anzahl der Tage vor Ablauf der Bestellung. Ist die Anzahl der Tage erreicht, wird der Kunde über ablaufende Bestellungen informiert. Der Empfänger behält ein Produkt in der Regel bis zu dem Zeitpunkt an dem er es selbst wieder abbestellt. Bisweilen werden Produkte jedoch nur für eine bestimmte Zeitspanne benötigt und können nach dieser Zeitspanne automatisch abbestellt werden. Dazu lesen Sie den Abschnitt Zeitlich begrenzte Bestellungen auf Seite 89. Vor Erreichen des Ablaufdatums erhält der Empfänger eine Benachrichtigung und hat die Möglichkeit die Bestellung zu verlängern. Um dieses Benachrichtigungsverfahren zu nutzen: 1. Aktivieren Sie den Konfigurationsparameter QER\ITShop\ValidityWarning und tragen Sie die Vorwarnzeit (in Tagen) für ablaufende Bestellungen ein. 2. Aktivieren Sie den Zeitplan IT Shop bald ablaufende Bestellungen erinnern. Lesen Sie dazu auch den Abschnitt Automatisierte Ausführung von Prozessen auf Seite 74 im Handbuch Prozess-Orchestrierung. 3. Wählen Sie an der Entscheidungsrichtlinie im Eingabefeld <Mailvorlage Fristablauf> die Mailvorlage aus, die für die E-Mail Benachrichtigung genutzt wird. In der Standardinstallation sind die Mailvorlagen IT Shop Bestellung - Produkt verfällt und IT Shop Bestellung - Ablauf verfügbar. Genehmigung oder Ablehnung einer Bestellung Bei Genehmigung oder Ablehnung einer Bestellung erhält der Empfänger der Bestellung eine Benachrichtigung. Diese Benachrichtigung kann bei Genehmigung oder Ablehnung eines einzelnen Entscheidungsschrittes oder bei Abschluss des gesamten Genehmigungsverfahrens erfolgen. Bestellungen können bei Überschreitung eines festgelegten Zeitraumes automatisch entschieden werden. Der Empfänger erhält dann ebenfalls eine Benachrichtigung. Wenn die Benachrichtigung gesendet werden soll, sobald ein einzelner Entscheidungsschritt entschieden wurde, erfassen Sie die folgenden Daten am Entscheidungsschritt: Mailvorlage Genehmigung Wählen Sie die Mailvorlage IT Shop Bestellung - Positiver Genehmigungsschritt. Mailvorlage Ablehnung Wählen Sie die Mailvorlage IT Shop Bestellung - Negativer Genehmigungsschritt. Wenn die Benachrichtigung gesendet werden soll, sobald das gesamte Genehmigungsverfahren abgeschlossen ist, erfassen Sie die folgenden Daten an der Entscheidungsrichtlinie: Mailvorlage Genehmigung Wählen Sie die Mailvorlage IT Shop Bestellung - Positive Entscheidung. Mailvorlage Ablehnung Wählen Sie die Mailvorlage IT Shop Bestellung - Negative Entscheidung. 82

Einrichten einer IT Shop-Lösung Abbruch einer Bestellung Bestellungen können aus verschiedenen Gründen automatisch abgebrochenwerden, beispielsweise wenn ein festgelegter Zeitraum überschritten wird oder kein Entscheider ermittelt werden kann. Der Empfänger der Bestellung erhält eine Benachrichtigung. Für dieses Benachrichtigungsverfahren erfassen Sie an der Entscheidungsrichtlinie die folgenden Daten: Mailvorlage Abbruch Wählen Sie die Mailvorlage IT Shop Bestellung - Abbruch. Eskalation einer Bestellung Bestellungen können bei Überschreitung eines festgelegten Zeitraumes eskaliert werden. Der Besteller erhält eine Benachrichtigung. Für dieses Benachrichtigungsverfahren erfassen Sie an der Entscheidungsrichtlinie die folgenden Daten: Mailvorlage Eskalation Wählen Sie die Mailvorlage IT Shop Bestellung - Eskalation. Delegierung einer Entscheidung Wenn an einem Entscheidungsschritt zusätzliche Entscheider mit der Entscheidung beauftragt werden können und die zusätzlichen Entscheider per E-Mail zur Entscheidung aufgefordert werden sollen, ordnen Sie dem Entscheidungsschritt folgendes Benachrichtigungsverfahren zu. Gleiches gilt, wenn die Entscheidung delegiert werden kann. 1. Mailvorlage Delegierung Wählen Sie die Mailvorlage IT Shop Bestellung - Delegierte/zusätzliche Entscheidung. Wenn Sie Entscheidung per E-Mail zulassen, wählen Sie die Mailvorlage IT Shop Bestellung - Delegierte/zusätzliche Entscheidung (per E-Mail). Wie Sie die Entscheidung per E-Mail einrichten, lesen Sie im Abschnitt Entscheidung per E-Mail auf Seite 93. Zurückweisen einer Entscheidung Wenn ein zusätzlicher Entscheider oder eine Person, an die eine Entscheidung delegiert wird, die Entscheidung verweigert, soll der ursprüngliche Entscheider darüber benachrichtigt werden. Für dieses Benachrichtigungsverfahren erfassen Sie folgende Daten am Entscheidungsschritt: 1. Mailvorlage Zurückweisung Wählen Sie die Mailvorlage IT Shop Bestellung - Ablehnung Entscheidung. Wenn Sie Entscheidung per E-Mail zulassen, wählen Sie die Mailvorlage IT Shop Bestellung - Ablehnung Entscheidung (per E-Mail). Wie Sie die Entscheidung per E-Mail einrichten, lesen Sie im Abschnitt Entscheidung per E-Mail auf Seite 93. 83

Quest One Identity Manager Benachrichtigungen bei Anfragen Werkzeug: Designer Konfigurationsparameter für die Benachrichtigung von Entscheidern bei einer Anfrage KONFIGURATIONSPARAMETER QER\IT Shop\MailTemplateIdents\QueryFromApprover QER\IT Shop\MailTemplateIdents\AnswerToApprover BEDEUTUNG Mailvorlage, die genutzt wird, um eine Benachrichtigung mit der Frage eines Entscheiders an eine Person zu versenden. Mailvorlage, die genutzt wird, um eine Benachrichtigung mit der Antwort auf seine Frage an einen Entscheider zu versenden. Personen können benachrichtigt werden, wenn eine Anfrage zu einer Bestellung gestellt wurde. Ebenso können die Entscheider benachrichtigt werden, sobald die Anfrage beantwortet wurde. Um eine Benachrichtigung zu versenden, wenn ein Entscheider eine Anfrage stellt Aktivieren Sie den Konfigurationsparameter QER\IT Shop\MailTemplateIdents\QueryFromApprover. Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage IT Shop Bestellung - Frage versendet. Um eine Benachrichtigung an den Entscheider zu versenden, wenn die angefragte Person auf eine Anfrage antwortet Aktivieren Sie den Konfigurationsparameter QER\IT Shop\MailTemplateIdents\AnswerToApprover. Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage IT Shop Bestellung - Antwort versendet. Um andere als die Standardmailvorlagen für diese Benachrichtigungen zu nutzen, ändern Sie den Wert der Konfigurationsparameter. Wie Sie Konfigurationsparameter bearbeiten, lesen Sie im Handbuch Konfiguration, im Abschnitt Eigenschaften der Konfigurationsparameter auf Seite 271. 84

Einrichten einer IT Shop-Lösung Entscheidung einer Bestellung durch einen zusätzlichen Entscheider Werkzeug: Designer Konfigurationsparameter für die Benachrichtigung von Entscheidern KONFIGURATIONSPARAMETER QER\ITShop\MailTemplateIdents\InformAddingPerson QER\ITShop\MailTemplateIdents\InformDelegatingPerson BEDEUTUNG Mailvorlage, die genutzt wird, um eine Benachrichtigungs- Mail an einen Entscheider zu versenden, das sein zusätzlich eingefügter Schritt entschieden wurde. Mailvorlage, die genutzt wird, um eine Benachrichtigungs- Mail an einen Entscheider zu versenden, das sein delegierter Schritt entschieden wurde. Der ursprüngliche Entscheider kann darüber benachrichtigt werden, dass ein zusätzlicher Entscheider oder eine Person, an die eine Entscheidung delegiert wurde, die Bestellung genehmigt oder ablehnt hat. Diese Benachrichtigung wird gesendet, sobald der Entscheidungsschritt entschieden wurde. Um eine Benachrichtigung zu versenden, wenn der zusätzliche Entscheider die Bestellung genehmigt oder abgelehnt hat Aktivieren Sie den Konfigurationsparameter QER\ITShop\MailTemplateIdents\InformAdding- Person. Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage IT Shop Bestellung - Zusätzlicher Genehmigungsschritt entschieden versendet. Um eine Benachrichtigung zu versenden, wenn die Person, an die eine Entscheidung delegiert wurde, die Bestellung genehmigt oder abgelehnt hat Aktivieren Sie den Konfigurationsparameter QER\ITShop\MailTemplateIdents\InformDelegatingPerson. Es wird standardmäßig eine Benachrichtigung mit der Mailvorlage IT Shop Bestellung - Delegierter Genehmigungsschritt entschieden versendet. Um andere als die Standardmailvorlagen für diese Benachrichtigungen zu nutzen, ändern Sie den Wert der Konfigurationsparameter. Wie Sie Konfigurationsparameter bearbeiten, lesen Sie im Handbuch Konfiguration, im Abschnitt Eigenschaften der Konfigurationsparameter auf Seite 271. Standard-Mailvorlagen Der Identity Manager liefert standardmäßig Mailvorlagen aus. Diese Mailvorlagen werden in den Sprachen Deutsch und Englisch bereitgestellt. Wenn Sie den Mailtext in anderen Sprachen benötigen, können Sie Maildefinitionen für diese Sprachen zu den Standard-Mailvorlagen hinzufügen. Um Standard-Mailvorlagen zu bearbeiten Wählen Sie die Kategorie IT Shop Basisdaten zur Konfiguration Mailvorlagen Vordefiniert. Wie Sie Maildefinitionen für weitere Sprachen zu einer Mailvorlage hinzufügen, lesen Sie im Abschnitt Erstellen kundenspezifischer Mailvorlagen für Benachrichtigungen auf Seite 120. 85

Quest One Identity Manager Ablauf einer Bestellung Um Produkte zu bestellen, abzubestellen, Bestellungen zu genehmigen oder sich einen Überblick über offene und abgeschlossene Bestellungen zu verschaffen, nutzen Sie das Web Portal. Für den Umgang mit dem Web Portal lesen Sie die Web Portal Anwenderdokumentation. Einen Überblick über offene und abgeschlossene Bestellungen erhalten Sie auch im Identity Manager und Manager. Ist eine Person Kunde in einem Shop, so kann sie aus allen Regalen dieses Shops Produkte bestellen. Bestellt der Kunde ein Produkt, muss die Bestellung zunächst im Genehmigungsverfahren positiv entschieden werden, damit das Produkt dem Kunden zugewiesen wird. Dabei wird der Kunde Mitglied in der Rolle des Produktes. Ist die Mitgliedschaft zustande gekommen, setzt der Standardmechanismus der Vererbung ein. Benötigt der Kunde das Produkt nicht mehr und bestellt das Produkt ab, wird die Mitgliedschaft des Kunden in der Rolle des Produktes aufgelöst. Für zeitlich begrenzte Bestellungen kann die Abbestellung auch automatisiert erfolgen. Wenn ein Kunde aus einem Shop entfernt wird, werden vorhandene Bestellungen für diesen Kunden geschlossen und die Produkte abbestellt. Wenn der Kunde in einen anderen Shop wechselt, können die Produktbestellungen unter bestimmten Voraussetzungen erhalten bleiben. Lesen Sie dazu den Abschnitt Wechsel des Kunden in einen anderen Shop auf Seite 90. Wenn es sich bei der Bestellung um eine Zuweisungsbestellung handelt, kann auch diese unter bestimmten Voraussetzungen erhalten bleiben. Lesen Sie dazu den Abschnitt Entfernen eines Kunden aus einem Shop auf Seite 40. Überblick über Bestellungen Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Einen Überblick über alle offenen und abgeschlossenen Bestellungen erhalten Sie in der Kategorie <IT Shop>\<Bestellungen>. Zu jeder Bestellung werden detaillierte Informationen angezeigt. Für offene Bestellungen sehen Sie einen Überblick über den aktuellen Stand des Genehmigungsverfahrens. Die Ansichten dienen nur zur Information. Eine Bearbeitung der Bestellungen und ein Eingriff in den Entscheidungsverlauf ist an dieser Stelle nicht möglich. 86

Einrichten einer IT Shop-Lösung Details der Bestellung Detaillierte Informationen einer Bestellung werden über die Aufgabe <Details der Bestellung> angezeigt. Sie sehen die allgemeinen Bestelldaten, den aktuellen Bearbeitungsstatus der Entscheidungsschritte und den Entscheidungsverlauf einer Bestellung. Details einer Bestellung Entscheidungsverlauf Ist eine Bestellung noch nicht abgeschlossen, erhalten Sie über die Aufgabe <Entscheidungsverlauf> den aktuellen Stand des Genehmigungsverfahrens. Darstellung des Entscheidungsverlaufes 87

Quest One Identity Manager Die einzelnen Entscheidungsebenen eines Entscheidungsworkflows werden über ein spezielles Steuerelement dargestellt. Die verantwortlichen Entscheider eines Entscheidungsschrittes werden über einen Tooltip angezeigt. Offene Nachfragen zu einem Entscheidungsschritt werden ebenfalls im Tooltip angezeigt. Die Steuerelemente werden farblich hinterlegt. Der Farbcode spiegelt den aktuellen Status der Entscheidungsebenen wieder. Bedeutung der Farben im Entscheidungsverlauf (in absteigender Priorität) FARBE Blau Grün Rot Gelb Grau BEDEUTUNG Die Entscheidungsebene wird aktuell bearbeitet. Die Entscheidungsebene wurde positiv entschieden. Die Entscheidungsebene wurde negativ entschieden. Die Entscheidungsebene wurde aufgrund einer Nachfrage zurückgestellt. Die Entscheidungsebene wurde (noch) nicht erreicht. Genehmigungshistorie Über die Aufgabe <Genehmigungshistorie> sehen Sie alle abgeschlossenen Entscheidungsschritte. Sie können hier den Ablauf und die Entscheidungen im Genehmigungsverfahren nachvollziehen. In der Genehmigungshistorie sehen Sie den Entscheidungsworkflow, die Ergebnisse der einzelnen Entscheidungsschritte und die Entscheider. Die Genehmigungshistorie wird sowohl für offene als auch für abgeschlossene Bestellungen angezeigt. Darstellung der Genehmigungshistorie 88

Einrichten einer IT Shop-Lösung Die Steuerelemente werden farblich hinterlegt. Der Farbcode spiegelt den Status der Entscheidungsschritte wieder. Bedeutung der Farben in der Genehmigungshistorie FARBE Gelb Grün Rot Grau Violett Orange Blau BEDEUTUNG Bestellung ausgelöst. Entscheider hat Bestellung genehmigt. Entscheider hat Bestellung abgelehnt. Die Bestellung wurde eskaliert. Entscheider hat seine Entscheidung widerrufen. Produkt wurde abbestellt. Bestellung wurde abgebrochen. Bestellung wurde an einen zusätzlichen Entscheider zugewiesen. Zusätzlicher Entscheider hat die Entscheidung zurückgewiesen. Entscheidung wurde delegiert. Neuer Entscheider hat die Delegierung zurückgewiesen. Bestellung wurde verlängert. Entscheider hat eine Nachfrage. Nachfrage wurde beantwortet. Nachfrage wurde wegen Entscheiderwechsel abgebrochen. Entscheider hat die Entscheidung umgeleitet. Der Entscheidungsschritt wurde automatisch zurückgesetzt. Mehrfache Bestellung eines Produktes Produkte des IT Shops sind in der Regel nur einmal bestellbar. Ist ein Produkt dem Kunden zugewiesen, kann dieser das Produkt nicht ein zweites Mal bestellen. Unter Umständen ist es jedoch erforderlich ein Produkt mehrfach zu bestellen. Um dieses abzubilden, muss das Produkt zur Mehrfachbestellung gekennzeichnet sein. Davon abhängig wird bei Genehmigung eines mehrfach bestellbaren Produktes dieses intern sofort wieder abbestellt oder die Abbestellung über den Kunden ermöglicht. Zur Einrichtung mehrfach bestellbarer Produkte lesen Sie den Abschnitt Mehrfach bestellbare Produkte auf Seite 30. Nach der Genehmigung eines mehrfach bestellbaren Produktes wird der Kunde nicht Mitglied in der Rolle des Produktes. Das bedeutet, das Produkt wird dem Kunden nicht über interne Vererbung zugewiesen. Um bei der Genehmigung eines mehrfach bestellbaren Produktes eine definierte Aktion auszulösen, definieren Sie kundenspezifische Prozesse mit dem Basisobjekt PersonWantsOrg für das Ereignis OrderGranted. Lesen Sie dazu den Abschnitt Prozessverarbeitung im Identity Manager auf Seite 35 im Handbuch Prozess-Orchestrierung. Zeitlich begrenzte Bestellungen Der Kunde behält ein bestelltes Produkt in der Regel bis zu dem Zeitpunkt an dem er ihn selbst wieder abbestellt. Bisweilen werden Produkte jedoch nur für eine bestimmte Zeitspanne benötigt und könnten nach dieser Zeitspanne automatisch abbestellt werden. Produkte, die für eine zeitlich begrenzte Bestel- 89

Quest One Identity Manager lung vorgesehen sind, müssen mit einem Gültigkeitszeitraum gekennzeichnet werden. Dazu lesen Sie den Abschnitt Produkte für zeitlich begrenzte Bestellungen auf Seite 31. Bei der Bestellung eines zeitlich begrenzten Produktes berechnet der Identity Manager das Datum, zu dem das Produkt automatisch abbestellt wird ( Gültig bis -Datum), aus dem aktuellen Datum und dem Gültigkeitszeitraum, der an der Leistungsposition angegeben ist. Dieses Datum kann vom Besteller bei der Bestellung bei Bedarf weiter angepasst werden. Zusätzlich kann bei der Bestellung ein Gültig von -Datum angegeben werden. Damit wird festgelegt, zu welchem Zeitpunkt eine Zuweisung wirksam werden soll. Ist dieses Datum angegeben, wird das Gültig bis -Datum aus dem Gültig von -Datum und dem Gültigkeitszeitraum berechnet. Sobald eine Bestellung von allen Entscheidern genehmigt wurde, wird das Gültig bis -Datum aus dem aktuellen Datum und dem Gültigkeitszeitraum neu berechnet. Damit ist sichergestellt, dass der Gültigkeitszeitraum ab dem Tag der Zuweisung wirksam wird. Vor Erreichen des Ablaufdatums erhält der Empfänger der Bestellung eine Benachrichtigung und hat die Möglichkeit die Bestellung zu verlängern. Lesen Sie dazu den Abschnitt Ablauf einer befristeten Bestellung auf Seite 82. Bei Ablauf des Gültigkeitszeitraums wird die Bestellung geschlossen und deaktiviert. Der Kunde hat die Möglichkeit eine Bestellung zu verlängern. Nutzt der Kunde diese Möglichkeit, so muss die Verlängerung (wie bereits die ursprüngliche Bestellung) durch ein Genehmigungsverfahren entschieden werden. Wird die Verlängerung abgelehnt, läuft die Originalbestellung zum angegebenen Ablaufdatum aus. Wechsel des Kunden in einen anderen Shop Bestellt ein Kunde ein Produkt aus einem Shop und wechselt zu einem späteren Zeitpunkt den Shop oder das Shoppingcenter, dann wird die Produktbestellung geschlossen und das Produkt abbestellt. Das heißt, seine Mitgliedschaft in den Rollen dieser Produkte wird entfernt. Um die Bestellung eines Produktes bei Umzug des Kunden zu erhalten, können Sie die Leistungsposition des Produktes mit der Angabe <Zuweisung der Leistungsposition bleibt bei Umzug bestehen> versehen. Dazu lesen Sie den Abschnitt Produktbestellung bei Wechsel des Kunden in einen anderen Shop auf Seite 32. Alle offenen oder genehmigten Bestellungen des zu verlassenden Shops werden dann in den ersten gefundenen Shop umgesetzt, in dem die Person ebenfalls Kunde ist und der auch das bestellbare Produkt enthält. Offene Bestellungen werden in diesem Zusammenhang zurückgesetzt, dass heißt, diese Bestellungen müssen das Genehmigungsverfahren nochmals von Beginn an durchlaufen. 90

Einrichten einer IT Shop-Lösung Änderung des Entscheidungsworkflows bei offenen Bestellungen Konfigurationsparameter für die Erinnerung von Entscheidern KONFIGURATIONSPARAMETER QER\ITShop\ResetOnWorkflowChange BEDEUTUNG Der Konfigurationsparameter gibt an, ob bei Veränderungen des Entscheidungsworkflows die Genehmigung offener Bestellungen zurückgesetzt wird. Ist der Parameter aktiviert wird die Genehmigung offener Bestellungen zurückgesetzt. Ist der Parameter nicht aktiviert, werden offene Bestellungen geschlossen und müssen bei Bedarf neu bestellt werden. Wenn sich der Genehmigungsworkflow für eine offene Bestellung ändert, werden alle bereits getroffenen Entscheidungen zurückgesetzt. Die Bestellung durchläuft das Genehmigungsverfahren erneut. Dieses Verhalten steuern Sie über den Konfigurationsparameter QER\ITShop\ResetOnWorkflowChange. Wenn Sie den Kofigurationsparameter deaktivieren, werden alle offenen Bestellungen geschlossen. Der Kunde muss das Produkt bei Bedarf neu bestellen. Bestellungen für Mitarbeiter In der Standardinstallation des Web Portals können Entscheider Produkte für andere Personen bestellen und abbestellen. Ein Entscheider kann für eine Person nur Produkte aus Shops bestellen, für die er als Entscheider verantwortlich ist und in denen die ausgewählte Person auch Kunde ist. Weiterhin dürfen Abteilungsleiter und deren Stellvertreter die Daten der Mitarbeiter ihrer Abteilung bearbeiten. Die Auswertung der Zuständigkeiten erfolgt über die folgende Datenbanksicht (View): vi_editemployee Die Sicht liefert die Abteilungsleiter, deren Stellvertreter und die Mitarbeiter, deren Daten bearbeitet werden dürfen. Managerwechsel für Mitarbeiter bestellen Manager können im Web Portal die Stammdaten ihrer Mitarbeiter bearbeiten. In diesem Zusammenhang ist es möglich, einen anderen Manager für einen Mitarbeiter festzulegen. Dafür bestellt der bisherige Manager die Zuweisung eines anderen Managers. Wenn der andere Manager der Bestellung zustimmt, wird er als Manager dem Mitarbeiter zugeordnet. Voraussetzungen, um Managerwechsel über das Web Portal zu veranlassen: Die folgenden standardmäßig bereitgestellten Objekte sind in der Identity Manager Datenbank 91

Quest One Identity Manager vorhanden. Standardobjekte für den Managerwechsel OBJEKTE Ressource Zuweisung neuer Manager Leistungsposition Zuweisung neuer Manager IT Shop-Struktur Identity & Access Lifecycle\Identity Lifecycle Entscheidungsrichtlinie Zuweisung neuer Manager Entscheidungsworkflow Zuweisung neuer Manager Prozess VI_ESS_PersonWantsOrg_Set_New_P erson.manager BESCHREIBUNG Wird genutzt, um den anderen Manager im IT Shop zu bestellen. Die Optionen <IT Shop> und <Verwendung nur im IT Shop> sind aktiviert. Es ist die Leistungsposition Zuweisung neuer Manager zugeordnet. Produkt, das beim Zuweisen eines anderen Managers bestellt wird. Die Option <Mehrfachbestellung möglich> ist aktiviert. Das Produkt wird abbestellt, sobald der andere Manager zugewiesen wurde. Es ist die Entscheidungsrichtlinie Zuweisung neuer Manager zugeordnet. Die Leistungsposition ist standardmäßig diesem Regal zugewiesen. Legt den Entscheidungsworkflow fest, über den der Managerwechsel genehmigt wird. Es ist der Entscheidungsworkflow Zuweisung neuer Manager zugeordnet. Ermittelt den anderen Manager als Entscheider. Wenn dieser ablehnt, wird die Bestellung an den bisherigen Manager zurückgegeben. Ordnet der Person den anderen Manager als Manager zu, wenn der Managerwechsel genehmigt wurde und das Gültigkeitsdatum der Bestellung erreicht ist. Der Managerwechsel läuft folgendermaßen ab: 1. Der bisherige Manager bearbeitet die Stammdaten des Mitarbeiters, der einen anderen Manager erhalten soll. Er wählt eine Person als Manager aus und legt ein Datum fest, ab dem die Änderung wirksam werden soll. Lesen Sie dazu die Web Portal Anwenderdokumentation. 2. Es wird eine Bestellung mit folgenden Eigenschaften ausgelöst: Besteller = bisheriger Manager Empfänger = Mitarbeiter Zusätzliche Bestellinformation = anderer Manager Entscheider = anderer Manager Gültig von = Datum, ab dem die Änderung wirksam werden soll 3. Die Bestellung wird dem anderen Manager zur Entscheidung zugewiesen. a) Wenn er ablehnt, wird die Bestellung an den bisherigen Manager zurückgegeben. Dieser kann einen anderen Manager auswählen und der Bestellung zustimmen. Die Bestellung wird diesem anderen Manager zur Entscheidung zugewiesen. Der bisherige Manager kann die Bestellung ablehnen. Damit ist der Managerwechsel abgeschlossen. Der Manager des Mitarbeiters wird nicht geändert. b) Wenn der andere Manager der Bestellung zustimmt, wird er am Gültigkeitsdatum der Bestellung als Manager der Person zugeordnet. 4. Das Produkt wird abbestellt und die Bestellung geschlossen. 92

Einrichten einer IT Shop-Lösung Entscheidung per E-Mail Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Designer Konfigurationsparameter für die Entscheidung per E-Mail KONFIGURATIONSPARAMETER QER\IT Shop\MailApproval\Inbox QER\IT Shop\MailApproval\Account QER\IT Shop\MailApproval\Domain QER\IT Shop\MailApproval\Password QER\IT Shop\MailTemplateIdents\ITShopApproval QER\ITShop\MailApproval\DeleteMode BEDEUTUNG Microsoft Exchange Postfach, welches für Prozesse der "Genehmigung per E-Mail" genutzt wird. Name des Benutzerkontos zur Authentifizierung am "Genehmigung per E-Mail" Postfach. Domäne des Benutzerkontos zur Authentifizierung am "Genehmigung per E-Mail" Postfach. Kennwort des Benutzerkontos zur Authentifizierung am "Genehmigung per E-Mail" Postfach. Mailvorlage, die genutzt wird, um Bestellungen durch "Genehmigung per E-Mail" zu entscheiden. Gibt die Art und Weise an, wie E-Mails im Posteingang gelöscht werden sollen. Um Entscheidern, die zeitweilig keinen Zugang zu den Identity Manager Werkzeugen haben, die Möglichkeit zu geben, Bestellungen zu entscheiden, können Sie die Entscheidung per E-Mail einrichten. Dabei erhalten die Entscheider eine E-Mail-Benachrichtigung, wenn für sie eine Bestellung zur Entscheidung vorliegt. Über entsprechende Links in der E-Mail können die Entscheider die Entscheidung treffen, ohne sich mit dem Web Portal zu verbinden. Dabei wird eine E-Mail generiert, die die Entscheidung enthält und in der der Entscheider eine Begründung seiner Entscheidung erfassen soll. Diese E-Mail wird an ein zentrales Microsoft Exchange Postfach gesendet. Der Identity Manager überprüft das Postfach regelmäßig, wertet die eingegangenen E-Mails aus und aktualisiert entsprechend den Status der Bestellvorgänge. Voraussetzungen 1. Konfiguration der Microsoft Exchange Umgebung mit Microsoft Exchange Client Access Server Version 2007, Service Pack 1 oder höher Microsoft Exchange Web Service.NET API Version 1.2.1, 32 Bit 2. Das Benutzerkonto, mit dem der Identity Manager sich an der Microsoft Exchange Umgebung anmeldet, benötigt Vollzugriff auf das Postfach, das im Konfigurationsparameter QER\IT Shop\MailApproval\Inbox angegeben ist. 3. Der Konfigurationsparameter QER\IT Shop\MailTemplateIdents\RequestApproverByCollection ist deaktiviert. Um die Entscheidung per E-Mail einzurichten 1. Aktivieren Sie den Konfigurationsparameter QER\IT Shop\MailApproval\Inbox und geben Sie das Postfach an, an das Entscheidungsmails gesendet werden sollen. 2. Richten Sie den Zugriff auf das Postfach ein. a) Standardmäßig nutzt der Identity Manager das Benutzerkonto des Identity Manager Services, um sich am Microsoft Exchange Server anzumelden und auf das Postfach zuzugreifen. 93

Quest One Identity Manager ODER b) Geben Sie ein separates Benutzerkonto für die Anmeldung am Microsoft Exchange Server zum Zugriff auf das Postfach an. Aktivieren Sie dafür die Konfigurationsparameter QER\IT Shop\MailApproval\Account, QER\IT Shop\MailApproval\Domain und QER\IT Shop\MailApproval\Password und geben Sie das Benutzerkonto, das Kennwort und die Domäne an. 3. Aktivieren Sie den Konfigurationsparameter QER\IT Shop\MailTemplateIdents\ITShopApproval. An diesem Konfigurationsparameter ist die Mailvorlage hinterlegt, die genutzt wird, um die Entscheidungsmail zu erstellen. Sie können die Standardmailvorlage nutzen oder eine unternehmensspezifische Mailvorlage hinterlegen. Um eine unternehmensspezifische Mailvorlage für Entscheidungsmails zu nutzen, ändern Sie den Wert des Konfigurationsparameters. Passen Sie in diesem Fall auch das Skript VI_MailApproval_ProcessMail an (siehe Abschnitt Verarbeitung einer Entscheidungsmail auf Seite 95). Wie Sie unternehmensspezifische Mailvorlagen erstellen, lesen Sie im Abschnitt Erstellen kundenspezifischer Mailvorlagen für Benachrichtigungen auf Seite 120. 4. Ordnen Sie an den Entscheidungsschritten folgende Mailvorlagen zu. Mailvorlagen EIGENSCHAFT MAILVORLAGE Mailvorlage Aufforderung IT Shop Bestellung - Aufforderung zur Entscheidung (per E- Mail) siehe Abschnitt Aufforderung zur Entscheidung auf Seite 80 Mailvorlage Erinnerung Mailvorlage Delegierung Mailvorlage Zurückweisung IT Shop Bestellung - Erinnerung Entscheider (per E-Mail) siehe Abschnitt Erinnerung der Entscheider auf Seite 80 IT Shop Bestellung - Delegierte/zusätzliche Entscheidung (per E-Mail) siehe Abschnitt Delegierung einer Entscheidung auf Seite 83 IT Shop Bestellung - Ablehnung Entscheidung (per E-Mail) siehe Abschnitt Zurückweisen einer Entscheidung auf Seite 83 5. Aktivieren Sie den Zeitplan Verarbeiten der IT Shop Genehmigungen per E-Mail. Entsprechend diesem Zeitplan überprüft der Identity Manager regelmäßig das Postfach nach neuen Entscheidungsmails. Standardmäßig wird das Postfach alle 15 Minuten überprüft. Sie können das Ausführungsintervall des Zeitplans entsprechend ihren Erfordernissen anpassen. Wie Sie Zeitpläne bearbeiten, lesen Sie im Handbuch Konfiguration, im Abschnitt Einrichten und Konfigurieren von Zeitplänen auf Seite 273. Um das Postfach aufzuräumen Aktivieren Sie den Konfigurationsparameter QER\ITShop\MailApproval\DeleteMode und wäh- 94

Einrichten einer IT Shop-Lösung len Sie einen der folgenden Werte. Aufräumen eines Postfachs WERT HardDelete MoveToDeletedItems SoftDelete VERFAHREN Die verarbeitete E-Mail wird sofort gelöscht. Die verarbeitete E-Mail wird in den Ordner Gelöschte Objekte des Postfachs verschoben. Die verarbeitete E-Mail wird in den Active Directory Papierkorb verschoben und kann bei Bedarf wiederhergestellt werden. Bei Einsatz der Aufräumverfahren MoveToDeletedItems oder SoftDelete sollten Sie den Ordner Gelöschte Objekte bzw. den Active Directory Papierkorb Sie regelmäßigen Abständen leeren. Verarbeitung einer Entscheidungsmail Konfigurationsparameter für die Entscheidung per E-Mail KONFIGURATIONSPARAMETER QER\IT Shop\MailApproval\ExchangeURI BEDEUTUNG Angabe der Exchange Web Service URL. Ist diese nicht spezifiziert, wird der AutoDiscover Modus zur Erkennung der URL verwendet. Der Zeitplan Verarbeiten der IT Shop Genehmigungen per E-Mail startet den Prozess VI_ITShop_Process Approval Inbox. Dieser Prozess führt das Skript VI_MailApproval_ProcessInBox aus, welches das Postfach nach neuen Entscheidungsmails durchsucht und die Bestellvorgänge in der Identity Manager Datenbank aktualisiert. Danach wird der Inhalt der Entscheidungsmail verarbeitet. Die Gültigkeit der Serverzertifikate wird durch das Skript VID_ValidateCertificate überprüft. Sie können dieses Skript an Ihre unternehmensspezifischen Sicherheitsanforderungen anpassen. Beachten Sie dabei, dass dieses Skript auch für Attestierungen per E-Mail verwendet wird! Wie Sie Skripte bearbeiten, lesen Sie im Abschnitt Bearbeiten von Skripten auf Seite 345, im Handbuch Konfiguration. Wird eine nicht öffentlich signierte Root CA/Zertifizierungsstelle verwendet, so muss das Benutzerkonto unter dem der Identity Manager Service läuft, diesem Rootzertifikat vertrauen. Das Skript VI_MailApproval_ProcessInBox ermittelt die Exchange Web Service URL standardmäßig per AutoDiscover über das übergebene Postfach. Dies setzt voraus, dass der Autodiscover Dienst läuft. Falls das nicht möglich ist, geben Sie die URL im Konfigurationsparameter QER\IT Shop\MailApproval\ExchangeURI an. Entscheidungsmails werden durch das Skript VI_MailApproval_ProcessMail verarbeitet. Das Skript ermittelt die getroffene Entscheidung, setzt die Option Genehmigt und hinterlegt die Begründung für die Entscheidung an den Bestellvorgängen. Über die Absenderadresse wird der Entscheider ermittelt. 95

Quest One Identity Manager Danach wird die Entscheidungsmail abhängig vom gewählten Aufräumverfahren aus dem Postfach entfernt. Wenn Sie eine unternehmensspezifische Mailvorlage für die Entscheidungsmail nutzen, prüfen Sie das Skript und passen Sie es gegebenenfalls an. Beachten Sie dabei, dass dieses Skript auch für Attestierungen per E-Mail verwendet wird! Wie Sie Skripte bearbeiten, lesen Sie im Abschnitt Bearbeiten von Skripten auf Seite 345, im Handbuch Konfiguration. Bearbeiten des IT Shops Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Konfigurationsparameter für die Einrichtung eines IT Shops KONFIGURATIONSPARAMETER QER\ITShop BEDEUTUNG Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für den IT Shop. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren. Ist der Parameter aktiviert, sind die Bestandteile des IT Shops verfügbar. Nachfolgend wird beschrieben, wie Sie kundenspezifische Shops, Shoppingcenter oder Regale einrichten. Sie können den mitgelieferten Standardshop Identity Lifecycle erweitern oder eine eigenständige IT Shop-Lösung einrichten. Richten Sie den IT Shop mit Hilfe des IT Shop Assistenten ein. Sie starten den Assistenten in der Kategorie <Mein Identity Manager>\<IT Shop Assistenten>\<Shop anlegen>. Der Assistent umfasst die wichtigsten Konfigurationsschritte zur Inbetriebnahme eines IT Shops. Wenn Sie den IT Shop Assistenten zum Einrichten des IT Shops nutzen, werden Sie durch die einzelnen Schritte geführt. Nach Abschluss des Assistenten sind weitere Konfigurationsschritte erforderlich. Shops, Shoppingcenter und Regale werden in der Kategorie <IT Shop> dargestellt. Die technische Abbildung der IT Shop-Lösung basiert auf den Mechanismen der Rollenverwaltung im Identity Manager, wie sie im Abschnitt Unternehmensstrukturen als Rollen im Identity Manager auf Seite 115 beschrieben sind. Alle Objekte eines IT Shops werden als Rolle mit der Rollenklasse IT Shop Struktur angelegt. Dadurch kann ein IT Shop als hierarchische Struktur im Identity Manager abgebildet werden. 96

Einrichten einer IT Shop-Lösung Folgende Abbildung zeigt einen IT Shop mit Shoppingcenter, Shops, Regalen, Produkten und Kunden. Abbildung eines IT Shops In den nachfolgenden Abschnitten wird die Vorgehensweise zur manuellen Einrichtung eines IT Shops erläutert. Basisdaten für den IT Shop Rollentypen Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Zur Einteilung von Rollen erstellen Sie Rollentypen. Sie können die Rollentypen nutzen, um die Vererbung von Entscheidungsrichtlinien innerhalb eines IT Shops festzulegen. Dafür ordnen Sie Rollentypen den Regalen und Entscheidungsrichtlinien zu. Lesen Sie dazu den Abschnitt Ermitteln der wirksamen Entscheidungsrichtlinie auf Seite 56. 97

Quest One Identity Manager Sie können Rollentypen auch Shops zuordnen, wenn Sie die Shops nach weiteren Kriterien unterscheiden wollen. Rollentypen an Shops haben jedoch keinen Einfluss auf die Vererbung von Entscheidungsrichtlinien. Rollentypen erstellen Sie im Identity Manager in der Kategorie <IT Shop>\<Basisdaten>\<Rollentypen>. Für einen Rollentyp erfassen Sie eine Bezeichnung und eine nähere Beschreibung. Entscheidungsrichtlinien und Entscheidungsworkflows Entscheidungsrichtlinien und Entscheidungsworkflows werden genutzt, um Bestellungen zu autorisieren. Wie Sie Entscheidungsrichtlinien und Entscheidungsworkflows einrichten, erfahren Sie im Abschnitt Genehmigungsverfahren für IT Shop-Bestellungen auf Seite 44. Bearbeitungsstatus Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Definieren Sie eigene Bearbeitungsstatus für Bestellungen. Für jeden Entscheidungsschritt in einem Entscheidungsworkflow können Sie Bearbeitungsstatus für den Erfolgsfall und Fehlerfall der Entscheidung angeben. Abhängig von einer positiven oder negativen Entscheidung wird der entsprechende Bearbeitungsstatus für die Bestellung gesetzt. Bearbeitungsstatus erstellen Sie im Identity Manager in der Kategorie <IT Shop>\<Basisdaten>\<Bearbeitungsstatus>. Erfassen Sie folgende Informationen: Bezeichnung des Bearbeitungsstatus Für die sprachabhängige Verwendung des Namens übersetzen Sie diesen über die Schaltfläche neben dem Eingabefeld. ausführliche Beschreibung des Bearbeitungsstatus Eigenschaften des Bearbeitungsstatus Für kundenspezifische Implementierungen können Sie einen Bearbeitungsstatus mit den Optionen <Erfolg>, <Abgeschlossen> und <Manuell nachzubearbeiten> näher kennzeichnen. Reihenfolge Zusätzlich können Sie eine Reihenfolge der Bearbeitungsstatus festlegen. Anwendungsrollen Attestierer IT Shop Strukturen können Personen zugewiesen werden, die als verantwortliche Attestierer für Attestierungsvorgänge herangezogen werden können. Dazu ordnen Sie in den allgemeinen Stammdaten einer IT Shop Struktur (Shoppingcenter, Shop, Regal, Produkt) eine Anwendungsrolle <Attestierer> zu. Dieser Anwendungsrolle weisen Sie die Personen zu, die berechtigt sind Bestellungen zu attestieren. Attestierer bearbeiten Sie im Manager in der Kategorie <IT Shop>\<Basisdaten zur Konfiguration>\<Attestierer> oder im Identity Manager in der Kategorie <Identity Manager Administration>\<Request & Fulfillment>\<IT Shop>\<Attestierer>. Detaillierte Informationen zu Anwendungsrollen erhalten Sie im Abschnitt Identity Manager Rollenmodell auf Seite 97. Wie Sie Attestierer zuweisen, lesen Sie im Abschnitt Allgemeine Stammdaten einer Leistungsposition auf Seite 19 und Erfassen von Servicekategorien auf Seite 27. 98

Einrichten einer IT Shop-Lösung Produkteigner Leistungspositionen und Servicekategorien können Personen zugewiesen werden, die als verantwortliche Entscheider in Genehmigungsverfahren bei Bestellungen dieser Leistungspositionen herangezogen werden können. Dazu ordnen Sie in den allgemeinen Stammdaten einer Leistungsposition oder Servicekategorie eine Anwendungsrolle <Produkteigner> zu. Dieser Anwendungsrolle weisen Sie die Personen zu, die berechtigt sind, Bestellungen im IT Shop zu genehmigen und die Stammdaten der Leistungsposition zu bearbeiten. Produkteigner bearbeiten Sie im Manager in der Kategorie <IT Shop>\<Basisdaten zur Konfiguration>\<Produkteigner> oder im Identity Manager in der Kategorie <Identity Manager Administration>\<Request & Fulfillment>\<IT Shop>\<Produkteigner>. Detaillierte Informationen zu Anwendungsrollen erhalten Sie im Abschnitt Identity Manager Rollenmodell auf Seite 97. Wie Sie Produkteigner zuweisen, lesen Sie im Abschnitt Allgemeine Stammdaten einer Leistungsposition auf Seite 19 und Erfassen von Servicekategorien auf Seite 27. Mailvorlagen Mailvorlagen werden genutzt, um E-Mail Benachrichtigungen an Besteller und Entscheider zu versenden. Weitere Informationen erhalten Sie in den Abschnitten Benachrichtigungen im Bestellprozess auf Seite 79 und Erstellen kundenspezifischer Mailvorlagen für Benachrichtigungen auf Seite 120. Partnerfirmen Für Leistungspositionen kann ein Hersteller angegeben werden. Die Informationen zu Herstellern pflegen Sie in der Kategorie <IT Shop>\<Basisdaten zur Konfiguration>\<Partnerfirmen>. Hier erfassen Sie die Angaben zu externen Firmen, die als Hersteller, Lieferanten oder Partner auftreten können. Für eine Partnerfirma können Sie Firmennamen, allgemeine Adressangaben und die E-Mail-Adresse aufnehmen. Ist für eine Partnerfirma eine Webseite eingetragen, wird über die Schaltfläche <Browsen> diese Seite im Standardwebbrowser angezeigt. Für eine Partnerfirma können Sie kennzeichnen, ob diese Partner, Leasinggeber, Lieferant oder Hersteller ist sowie die Kundennummer hinterlegen. Servicekatalog Einzelne Leistungspositionen können Sie zu Servicekategorien zusammenfassen und damit einen Servicekatalog erstellen. Wie Sie Servicekategorien erstellen und bearbeiten ist im Abschnitt Erfassen von Servicekategorien auf Seite 27 beschrieben. Bestelleigenschaften Bei der Bestellung von Produkten im Web Portal können dynamisch produktspezifische Bestelleigenschaften abgefragt werden. Diese Bestelleigenschaften werden im Web Portal, je nach Konfiguration, dem Besteller oder dem Entscheider angezeigt. Um produktspezifische Bestelleigenschaften zu nutzen, legen Sie zunächst fest, welche Eigenschaften, für welches Produkt zulässig sind. Lesen Sie dazu den Abschnitt Erfassen produktspezifischer Bestelleigenschaften auf Seite 29. Einrichten eines Shoppingcenters Abhängig von Ihrer Unternehmensstruktur definieren Sie für Ihre IT Shop-Lösung optional Shoppingcenter, unter denen Sie mehrere Shops zusammenfassen. Ein Shoppingcenter fügen Sie immer in der 99

Quest One Identity Manager obersten Ebene des IT Shops ein. Eine hierarchische Abbildung von Shoppingcentern untereinander ist nicht zulässig. Shoppingcenter einrichten Folgende Stammdaten erfassen Sie für ein Shoppingcenter: IT Shop Knoten, Interner Name Bezeichnung des IT Shop Knotens für das Shoppingcenter und die interne Bezeichnung des Shoppingcenters. IT Shop Information Über diese Angabe wird der Aufbau des IT Shops geregelt. Legen Sie den Wert Shoppingcenter fest. Die Auswahlliste wird nur beim Einfügen eines neuen Shoppingcenters angezeigt. Rollentyp Der Rollentyp hat für Shoppingcenter keine Relevanz. Lassen Sie dieses Eingabefeld leer. Übergeordneter IT Shop Knoten Shoppingcenter bilden immer den obersten Knoten eines IT Shops. Lassen Sie dieses Eingabefeld daher leer. Standort, Abteilung, Kostenstelle Ordnen Sie eine Abteilung, eine Kostenstelle sowie einen Standort zu. Diese Angaben können Sie in Entscheidungsworkflows für die Ermittlung der verantwortlichen Entscheider für Bestellungen aus diesem Shoppingcenter nutzen. Eigentümer, Stellvertreter Legen Sie die verantwortlichen Personen (Eigentümer, Stellvertreter) für das Shoppingcenter fest. Auch diese Angaben können Sie in Entscheidungsworkflows nutzen. Attestierer Legen Sie fest, aus welcher Anwendungsrolle entscheidungsberechtigte Personen in einem Attestierungsverfahren ermittelt werden. Die Mitglieder dieser Anwendungsrolle können Zuweisungen zu dem Shoppingcenter attestieren. Lesen Sie dazu den Abschnitt Auswahl der verantwortlichen Attestierer auf Seite 899 im Handbuch Identity Management. ausführliche Beschreibung für das Shoppingcenter Benutzerdefinierte Stammdaten Hier erfassen Sie zusätzliche unternehmensspezifische Informationen zu einem Shoppingcenter. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder (standardmäßig <Freies Feld Nr. 01> bis <Freies Feld Nr. 10>) können Sie mit dem Designer an Ihre Anforderungen anpassen. 100

Einrichten einer IT Shop-Lösung Shoppingcentervorlage zuordnen Um die Shops eines Shoppingcenters automatisch zu füllen, werden Shoppingcentervorlagen eingesetzt. Zur Definition und Arbeitsweise von Shoppingcentervorlagen lesen Sie den Abschnitt Vorlagen zur automatischen IT Shop-Befüllung auf Seite 107. Shoppingcentervorlagen können Sie vorhandenen Shoppingcentern auf dem Stammdatenformular, im Eingabefeld <Regalvorlage> zuordnen. Shoppingcentervorlage zuordnen Zusätzliche Aufgaben für Shoppingcenter An ein Shoppingcenter können Sie Entscheidungsrichtlinien zuweisen. Diese werden auf alle Bestellungen aus diesem Shoppingcenter angewendet, wenn an untergeordneten IT Shop Knoten keine Entscheidungsrichtlinien zugewiesen sind. Lesen Sie dazu den Abschnitt Genehmigungsverfahren für IT Shop-Bestellungen auf Seite 44. 101

Quest One Identity Manager Einrichten eines Shops Jeder Shop beinhaltet eine Anzahl von Regalen, aus denen ein Kunde Produkte bestellen kann. Shops können Sie in der obersten Ebene des IT Shops oder unterhalb eines Shoppingcenters einrichten. Eine hierarchische Abbildung von Shops ist nicht zulässig. Shop einrichten Folgende Stammdaten erfassen Sie für einen Shop: IT Shop Knoten, Interner Name Bezeichnung des IT Shop Knotens für den Shop und die interne Bezeichnung des Shops. IT Shop Information Über diese Angabe wird der Aufbau des IT Shops geregelt. Legen Sie den Wert Shop fest. Die Auswahlliste wird nur beim Einfügen eines neuen Shops angezeigt. Rollentyp Den Rollentyp können Sie zur weiteren Einteilung von Shops nutzen. Der Rollentyp an Shops hat keinen Einfluss auf die Vererbung von Entscheidungsrichtlinien. Übergeordneter IT Shop Knoten Die Angabe eines übergeordneten IT Shop Knotens ist für den hierarchischen Aufbau des IT Shops erforderlich. Liegt der Shop in der obersten Ebene eines IT Shops, lassen Sie das Eingabefeld leer. Liegt der Shop in einem Shoppingcenter, dann wählen Sie das entsprechende Shoppingcenter aus. Über dieses Eingabefeld können auch nachträglich Shops zu Shoppingcentern hinzugefügt werden. Standort, Abteilung, Kostenstelle Ordnen Sie eine Abteilung, eine Kostenstelle sowie einen Standort zu. Diese Angaben können Sie in Entscheidungsworkflows für die Ermittlung der verantwortlichen Entscheider für Bestellungen aus diesem Shop nutzen. Eigentümer, Stellvertreter Legen Sie die verantwortlichen Personen (Eigentümer, Stellvertreter) für den Shop fest. Auch diese Angaben können Sie in Entscheidungsworkflows nutzen. Attestierer Legen Sie fest, aus welcher Anwendungsrolle entscheidungsberechtigte Personen in einem Attestierungsverfahren ermittelt werden. Die Mitglieder dieser Anwendungsrolle können Zuweisungen zu dem Shop attestieren. Lesen Sie dazu den Abschnitt Auswahl der verantwortlichen Attestierer auf Seite 899 im Handbuch Identity Management. 102

Einrichten einer IT Shop-Lösung ausführliche Beschreibung für den Shop Benutzerdefinierte Stammdaten Hier erfassen Sie zusätzliche unternehmensspezifische Informationen zu einem Shop. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder (standardmäßig <Freies Feld Nr. 01> bis <Freies Feld Nr. 10>) können Sie mit dem Designer an Ihre Anforderungen anpassen. Zusätzliche Aufgaben für Shops An einen Shop können Sie Entscheidungsrichtlinien zuweisen. Diese werden auf alle Bestellungen aus diesem Shop angewendet, wenn an untergeordneten IT Shop Knoten keine Entscheidungsrichtlinien zugewiesen sind. Lesen Sie dazu den Abschnitt Genehmigungsverfahren für IT Shop-Bestellungen auf Seite 44. Einrichten von Kundenknoten Zur Verwaltung der Kunden richten Sie für jeden Shop genau einen Kundenknoten ein. In diesen Kundenknoten nehmen Sie die Personen auf, die aus diesem Shop Produkte bestellen dürfen. Kundenknoten einrichten Folgende Stammdaten erfassen Sie für einen Kundenknoten: IT Shop Knoten, Interner Name Bezeichnung des IT Shop Knotens für die Kunden und die interne Bezeichnung des Kundenknotens. IT Shop Information Über diese Angabe wird der Aufbau des IT Shops geregelt. Legen Sie den Wert Kunden fest. Die Auswahlliste wird nur beim Einfügen einer neuen Kundenstruktur angezeigt. Übergeordneter IT Shop Knoten Die Angabe eines übergeordneten IT Shop Knotens ist für den hierarchischen Aufbau des IT Shops erforderlich. Wählen Sie den Shop aus, in dem der Kundenknoten angelegt wird. Pro Shop ist nur ein Kundenknoten zulässig. ausführliche Beschreibung für die Kundenstruktur 103

Quest One Identity Manager Regalvorlage, Rollentyp, Standort, Abteilung, Kostenstelle, Eigentümer, Stellvertreter und Attestierer haben für Kundenknoten keine Relevanz. Lassen Sie diese Eingabefelder leer. Benutzerdefinierte Stammdaten Hier erfassen Sie zusätzliche unternehmensspezifische Informationen zu einem Kundenknoten. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder (standardmäßig <Freies Feld Nr. 01> bis <Freies Feld Nr. 10>) können Sie mit dem Designer an Ihre Anforderungen anpassen. Zusätzliche Aufgaben für Kundenknoten Nehmen Sie die bestellberechtigten Personen für den Shop in den Kundenknoten auf. Dafür haben Sie zwei Möglichkeiten. Personen zuweisen Über diese Aufgabe weisen Sie Personen direkt an den Kundenknoten zu. Dynamische Rolle erstellen Mit dieser Aufgabe weisen Sie Personen über dynamische Rollen an den Kundenknoten zu. Detaillierte Informationen zu dynamischen Rollen erhalten Sie im Handbuch Identity Management, im Abschnitt Arbeiten mit dynamischen Rollen, Seite 1007 ff. Um eine dynamische Rolle zu erstellen 1. Wählen Sie die Kategorie IT Shop IT Shop <Shop> Kunden. 2. Wählen Sie die Aufgabe Dynamische Rolle erstellen. 3. Erfassen Sie die erforderlichen Stammdaten wie im Abschnitt Einrichten von dynamischen Rollen auf Seite 1008 im Handbuch Identity Management beschrieben. Für dynamische Rollen für Kundenknoten gelten folgende Besonderheiten: die Objektklasse Person IT Shop Knoten Diese Angabe ist mit dem ausgewählten Kundenknoten vorbelegt. Erfüllen die Personenobjekte die Bedingung der dynamischen Rolle, so werden sie in diesen Kundenknoten aufgenommen. Dynamische Rolle Die Bezeichnung der dynamischen Rolle wird standardmäßig aus der Objektklasse und dem vollständigen Namen des IT Shop Knotens gebildet. Zeitplan der Berechnung Zeitplan, nach dem die dynamische Rolle berechnet werden soll. Bestellberechtigte Personen für den Shop werden regelmäßig zu den Terminen ermittelt, die im Zeitplan festgelegt sind. Zum Einrichten von Zeitplänen lesen Sie den Abschnitt Einrichten und Konfigurieren von Zeitplänen zur Berechnung dynamischer Rollen auf Seite 1013 im Handbuch Identity Management. 4. Speichern Sie die Änderungen. Um eine dynamische Rolle zu bearbeiten 1. Wählen Sie die Kategorie IT Shop IT Shop <Shop> Kunden. 2. Wählen Sie die Aufgabe Überblick über bestellberechtigte Personen. 3. Wählen Sie das Formularelement Dynamische Rollen und klicken Sie auf die dynamische Rolle. 4. Wählen Sie die Aufgabe Stammdaten bearbeiten. 5. Bearbeiten Sie die dynamische Rolle wie im Abschnitt Einrichten von dynamischen Rollen auf 104

Einrichten einer IT Shop-Lösung Seite 1008 im Handbuch Identity Management beschrieben. 6. Speichern Sie die Änderungen. Einrichten eines Regals In Regalen werden verschiedene Produkte zur Bestellung angeboten. Die Einrichtung der Regale nehmen Sie unterhalb der einzelnen Shops vor. Regal einrichten Folgende Stammdaten erfassen Sie für ein Regal: IT Shop Knoten, Interner Name Bezeichnung des IT Shop Knotens für das Regal und die interne Bezeichnung des Regals IT Shop Information Über diese Angabe wird der Aufbau des IT Shops geregelt. Legen Sie den Wert Regal fest. Die Auswahlliste wird nur beim Einfügen eines neuen Regals angezeigt. Rollentyp Im Zusammenhang mit dem IT Shop können Sie die Rollentypen nutzen, um die Vererbung von Entscheidungsrichtlinien innerhalb eines IT Shops festzulegen. Lesen Sie dazu den Abschnitt Ermitteln der wirksamen Entscheidungsrichtlinie auf Seite 56. Die benötigten Rollentypen legen Sie in der Kategorie <IT Shop>\<Basisdaten zur Konfiguration>\<Rollentypen> an. Lesen Sie dazu den Abschnitt Rollentypen auf Seite 97. Übergeordneter IT Shop Knoten Die Angabe eines übergeordneten IT Shop Knotens ist für den hierarchischen Aufbau des IT Shops erforderlich. Wählen Sie den Shop aus, in dem das Regal angelegt wird. Standort, Abteilung, Kostenstelle Ordnen Sie eine Abteilung, eine Kostenstelle sowie einen Standort zu. Diese Angaben können Sie in Entscheidungsworkflows für die Ermittlung der verantwortlichen Entscheider für Bestellungen aus diesem Regal nutzen. Eigentümer, Stellvertreter Legen Sie die verantwortlichen Personen (Eigentümer, Stellvertreter) für das Regal fest. Auch diese Angaben können Sie in Entscheidungsworkflows nutzen. Attestierer Legen Sie fest, aus welcher Anwendungsrolle entscheidungsberechtigte Personen in einem Attestierungsverfahren ermittelt werden. Die Mitglieder dieser Anwendungsrolle können Zuwei- 105

Quest One Identity Manager sungen zu dem Regal attestieren. Lesen Sie dazu den Abschnitt Auswahl der verantwortlichen Attestierer auf Seite 899 im Handbuch Identity Management. ausführliche Beschreibung für das Regal Regalvorlage Um die Shops automatisch zu füllen, können Sie Regalvorlagen einsetzen. Für Regale, die über die automatische Befüllung des Shop entstanden sind, ist auf dem Stammdatenformular bestehender Regale, im Eingabefeld <Regalvorlage> der Verweis auf die genutzte Regalvorlage eingetragen. Zur Definition und Arbeitsweise von Regalvorlagen lesen Sie den Abschnitt Vorlagen zur automatischen IT Shop-Befüllung auf Seite 107. Benutzerdefinierte Stammdaten Hier erfassen Sie zusätzliche unternehmensspezifische Informationen zu einem Regal. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder (standardmäßig <Freies Feld Nr. 01> bis <Freies Feld Nr. 10>) können Sie mit dem Designer an Ihre Anforderungen anpassen. Zusätzliche Aufgaben für Regale Nachdem Sie die Stammdaten für Regale erfasst haben, können Sie verschiedene Aufgaben auf die Regale anwenden. Die wichtigsten Informationen erhalten Sie über das Überblicksformular eines Regals. Über die Aufgabenansicht stehen verschiedene Formulare zur Verfügung, mit denen Sie folgenden Aufgaben ausführen können. Entscheidungsrichtlinien zuweisen An ein Regal können Sie Entscheidungsrichtlinien zuweisen. Diese werden auf alle Bestellungen aus diesem Regal angewendet, wenn den bestellten Leistungspositionen keine Entscheidungsrichtlinien zugeordnet sind. Lesen Sie dazu den Abschnitt Genehmigungsverfahren für IT Shop-Bestellungen auf Seite 44. Die für das Regal wirksame Entscheidungsrichtlinie wird auf dem Überblicksformular angezeigt. Bestellbare Produkte zuweisen Einem Regal weisen Sie die Unternehmensressourcen zu, die die Kunden des Shops als Produkte bestellen dürfen. Für jede zugewiesene Unternehmensressource wird ein Produktknoten unterhalb des Regals angelegt. Sie können nur solche Unternehmensressourcen auswählen, die mit der Option <IT Shop> gekennzeichnet sind und denen eine Leistungsposition zugeordnet ist. Um Unternehmensressourcen zuzuweisen, wählen Sie eine der Aufgaben aus der Aufgabenansicht aus. Wie Sie Unternehmensressourcen auf die Nutzung im IT Shop vorbereiten, ist im Abschnitt Vorbereitung der Produkte zur Bestellung auf Seite 17 näher erläutert. Löschen von IT Shop Strukturen Um IT Shop Strukturen zu löschen, müssen Sie zuvor alle untergeordneten IT Shop Strukturen entfernen. Das gilt gleichermaßen für manuell angelegte IT Shop Strukturen wie für Regale und Produkte, die aus Regalvorlagen erzeugt wurden. Kundenknoten löschen Um einen Kundenknoten zu löschen, entfernen Sie zuvor alle zugewiesenen Personen. Wenn der Kundenknoten über eine dynamische Rolle gefüllt wird, löschen Sie zuvor die dynamische Rolle. 106

Einrichten einer IT Shop-Lösung Regale löschen Soll ein Regal komplett aufgelöst werden, müssen Sie zunächst alle Produktzuordnungen zum Regal entfernen. Beim nächsten Lauf des DBSchedulers werden offene Bestellungen der Produkte geschlossen und genehmigte Bestellungen abbestellt. Anschließend können Sie das Regal löschen. Wollen Sie Regale löschen, die aus einer speziellen Regalvorlage entstanden sind, müssen Sie genehmigte Bestellungen aus diesen Regalen abbestellen, offene Bestellungen stornieren, die Zuordnung der Regalvorlage an den Shop entfernen. Regale, die aus einer globalen Regalvorlage oder einer Shoppingcentervorlage erzeugt wurden, können nicht gelöscht werden. Shops löschen Wollen Sie einen Shop löschen, löschen Sie zuvor den Kundenknoten und die vorhandenen Regale. Shoppingcenter löschen Wollen Sie ein Shoppingcenter löschen, löschen Sie zuvor alle Shops. Vorlagen zur automatischen IT Shop-Befüllung Um Regale automatisiert anzulegen und mit Unternehmensressourcen zu versehen, können Sie Vorlagen erstellen. Vorlagen nutzen Sie, wenn Sie in mehreren Shops oder Shoppingcentern Regale mit identischer Produktzusammenstellung erstellen möchten. Sie können folgende Vorlagen definieren: Globale Regalvorlagen Eine globale Regalvorlage wird automatisch an alle Shops innerhalb der IT Shop-Lösung verteilt. Die globale Regalvorlage wird in alle Shops repliziert. In allen Shops wird ein entsprechendes Regal mit Produkten erzeugt. Wird innerhalb der IT Shop-Lösung ein neuer Shop eingerichtet, dann wird die globale Regalvorlage ebenfalls in diesen Shop repliziert. Spezielle Regalvorlagen Eine spezielle Regalvorlage weisen Sie manuell an einen oder mehrere Shops zu. Die spezielle Regalvorlage wird in diese Shops repliziert und ein entsprechendes Regal mit Produkten angelegt. Zusätzlich können Sie eine spezielle Regalvorlage an Shoppingcentervorlagen verteilen. Shoppingcentervorlagen Eine Shoppingcentervorlage verweist auf ein oder mehrere Shoppingcenter, in welche sie repliziert werden soll. Einem Shoppingcenter können Sie genau eine Shoppingcentervorlage zuordnen. Indem Sie eine spezielle Regalvorlage an eine Shoppingcentervorlage zuweisen, wird innerhalb der Shoppingcentervorlage ein Regal aus der Regalvorlage erstellt. Dieses Regal wird anschließend in allen Shops des Shoppingcenters eingerichtet. Zur Vereinfachung werden diese Vorlagen im Weiteren mit dem Begriff Regalvorlagen zusammengefasst. Alle Regalvorlagen werden im Identity Manager als Rolle mit der Rollenklasse IT Shop Vorlage abgebildet. 107

Quest One Identity Manager Für alle Regalvorlagen gilt: Wird eine Regalvorlage geändert, dann wird diese Änderung an allen aus dieser Regalvorlage erzeugten Regalen nachvollzogen. Wird eine Regalvorlage gelöscht, dann werden die daraus entstandenen Regale an den Shops ebenfalls entfernt. Bestehende Bestellungen werden abgeschlossen. Regalvorlagen können erst gelöscht werden, wenn die ihr zugeordneten Produkte und Entscheidungsrichtlinien entfernt wurden. In der nachfolgenden Abbildung sind die erstellbaren Regalvorlagen, deren Zuweisungen und die daraus resultierende IT Shop-Lösung dargestellt. 108

Einrichten einer IT Shop-Lösung Zuweisung von Regalvorlagen 109

Quest One Identity Manager Vorgehensweise beim Erstellen von Regalvorlagen Um die verschiedenen Regalvorlagen zu erstellen, gehen Sie wie folgt vor. Globale Regalvorlage 1. Globale Regalvorlage erstellen 2. Produkte und Entscheidungsrichtlinien an die globale Regalvorlage zuweisen Die globale Regalvorlage wird automatisch in alle Shops des IT Shops repliziert. Die erzeugten Regale erhalten einen Verweis auf die globale Regalvorlage, aus der sie entstanden sind. Die Produkte werden in die erzeugten Regale übernommen. Spezielle Regalvorlage 1. Spezielle Regalvorlage erstellen 2. Produkte und Entscheidungsrichtlinien an die spezielle Regalvorlage zuweisen 3. Spezielle Regalvorlage an einen oder mehrere Shops zuweisen Die spezielle Regalvorlage wird automatisch in die zugewiesenen Shops des IT Shops repliziert. Die erzeugten Regale erhalten einen Verweis auf die spezielle Regalvorlage, aus der sie entstanden sind. Die Produkte werden in die erzeugten Regale übernommen. Shoppingcentervorlage 1. Shoppingcentervorlage erstellen 2. Spezielle Regalvorlage erstellen und Produkte sowie Entscheidungsrichtlinien zuweisen 3. Spezielle Regalvorlage zur Shoppingcentervorlage zuweisen 4. Shoppingcentervorlage den gewünschten Shoppingcentern zuordnen Die spezielle Regalvorlage wird automatisch in die Shoppingcentervorlage repliziert. Anschließend wird das erzeugte Regal der Shoppingcentervorlage in alle Shops der zugeordneten Shoppingcenter verteilt. Die erzeugten Regale erhalten einen Verweis auf das Regal, aus dem sie entstanden sind. In den nachfolgenden Abschnitten werden die einzelnen Schritte zur Erstellung von Regalvorlagen näher erläutert. 110

Einrichten einer IT Shop-Lösung Regalvorlagen erstellen Konfigurationsparameter für die Nutzung von Regalvorlagen KONFIGURATIONSPARAMETER QER\ITShop\Templates BEDEUTUNG Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für den IT Shop-Befüllungsassistenten. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren. Ist der Parameter aktiviert, sind die Bestandteile des Befüllungsassistenten verfügbar. Regalvorlagen erstellen Sie im Identity Manager in der Kategorie <IT Shop>\<Regalvorlagen>. Melden Sie sich dazu mit einem rollenbasierten Authentifizierungsmodul in der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> an. Sie können Regalvorlagen auch im Manager erstellen. Beispiel für eine spezielle Regalvorlage Unabhängig von der Art der Regalvorlage erfassen Sie die folgenden Stammdaten. IT Shop Knoten, Interner Name Bezeichnung des IT Shop-Knotens für die Regalvorlage und die interne Bezeichnung der Regalvorlage. Diese Bezeichnungen werden für die erzeugten Regale übernommen. Rollentyp Im Zusammenhang mit dem IT Shop können Sie die Rollentypen nutzen, um die Vererbung von Entscheidungsrichtlinien innerhalb eines IT Shops festzulegen. Lesen Sie dazu den Abschnitt Ermitteln der wirksamen Entscheidungsrichtlinie auf Seite 56. Die benötigten Rollentypen legen Sie in der Kategorie <IT Shop>\<Basisdaten zur Konfiguration>\<Rollentypen> an. Lesen Sie dazu den Abschnitt Rollentypen auf Seite 97. Der Rollentyp wird für die erzeugten Regale übernommen. IT Shop Information Die Festlegung, ob es sich um eine globale Regalvorlage, eine spezielle Regalvorlage oder eine Shoppingcentervorlage handelt, treffen Sie anhand der IT Shop Information. Die zulässigen Werte sind: - Globale Regalvorlage - Spezielle Regalvorlage - Shoppingcentervorlage Die IT Shop Information kann nur beim Erstellen einer Regalvorlage festgelegt werden. Nach 111

Quest One Identity Manager dem Speichern sind keine Änderungen möglich. Standort, Abteilung, Kostenstelle Ordnen Sie eine Abteilung, eine Kostenstelle sowie einen Standort zu. Diese Angaben können Sie in Entscheidungsworkflows für die Ermittlung der verantwortlichen Entscheider für Bestellungen aus den erzeugten Regalen nutzen. Eigentümer, Stellvertreter Legen Sie die verantwortlichen Personen (Eigentümer, Stellvertreter) für die Regale fest. Auch diese Angaben können Sie in Entscheidungsworkflows nutzen. Attestierer Legen Sie fest, aus welcher Anwendungsrolle entscheidungsberechtigte Personen in einem Attestierungsverfahren ermittelt werden. Die Mitglieder dieser Anwendungsrolle können Zuweisungen zu den Regalen attestieren. Lesen Sie dazu den Abschnitt Auswahl der verantwortlichen Attestierer auf Seite 899 im Handbuch Identity Management. Ausführliche Beschreibung der Regalvorlage Der Beschreibungstext wird für die erzeugten Regale übernommen. Benutzerdefinierte Stammdaten Hier erfassen Sie zusätzliche unternehmensspezifische Informationen zu der Regalvorlage. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder (standardmäßig <Freies Feld Nr. 01> bis <Freies Feld Nr. 10>) können Sie mit dem Designer an Ihre Anforderungen anpassen. Diese Angaben werden standardmäßig nicht für die erzeugten Regale übernommen. Zusätzliche Aufgaben für Regalvorlagen Entscheidungsrichtlinien zuweisen An globale und spezielle Regalvorlagen können Sie Entscheidungsrichtlinien zuweisen. Diese werden für alle erzeugten Regale übernommen. Weitere Informationen über Entscheidungsrichtlinien erhalten Sie im Abschnitt Genehmigungsverfahren für IT Shop-Bestellungen auf Seite 44. Unternehmensressourcen zuweisen An globale und spezielle Regalvorlagen weisen Sie die Unternehmensressourcen zu. Diese Unternehmensressourcen werden in alle erzeugten Regale als Produktknoten übernommen. Sie können nur solche Unternehmensressourcen auswählen, die mit der Option <IT Shop> gekennzeichnet sind und denen eine Leistungsposition zugeordnet ist. Um Unternehmensressourcen zuzuweisen, wählen Sie eine der Aufgaben aus der Aufgabenansicht aus. Wie Sie Unternehmensressourcen auf die Nutzung im IT Shop vorbereiten, ist im Abschnitt Bestellbare Produkte auf Seite 16 näher erläutert. Regalbefüllungsassistent Mit dieser Aufgabe weisen Sie spezielle Regalvorlagen an Shops und Shoppingcentervorlagen zu. Lesen Sie dazu den Abschnitt Regalvorlagen an Shops und Shoppingcentervorlagen zuweisen auf Seite 113. 112

Einrichten einer IT Shop-Lösung Regalvorlagen an Shops und Shoppingcentervorlagen zuweisen Globale Regalvorlagen werden sofort in alle Shops eines IT Shops verteilt. Spezielle Regalvorlagen weisen Sie manuell an Shops und Shoppingcentervorlagen zu. Dazu führen Sie die Aufgabe <Regalbefüllungsassistent> an der speziellen Regalvorlage aus. Regalbefüllungsassistent Auf dem Tabreiter <Regale anlegen/löschen> werden die Shops und die Shoppingcentervorlagen dargestellt, denen die Regalvorlage zugewiesen und wieder entzogen werden kann. In der Auswahlliste <Regalvorlage> werden alle verfügbaren speziellen Regalvorlagen angezeigt. Standardmäßig ist die Liste mit der Regalvorlage vorbelegt, über die das Formular aufgerufen wurde. Über einen <Filter> schränken Sie die Anzahl der dargestellten Shops und Shoppingcentervorlagen ein. Es werden alle Einträge angezeigt, die die in der Filterbedingung eingetragene Zeichenkette enthalten. Groß- und Kleinschreibung wird nicht beachtet. Der Filter wird erst nach nochmaliger Auswahl der Regalvorlage in der Auswahlliste <Regalvorlage> wirksam. Für die Zuweisung einer Regalvorlage aktivieren Sie das Kontrollkästchen neben dem gewünschten Shop oder dem Shoppingcenter. Um die Regalvorlage allen Shops zuzuweisen, nutzen Sie die Schaltfläche <Allen zuweisen>. Um die Zuordnungen allen Shops zu entziehen, verwenden Sie die Schaltfläche <Allen entfernen>. Sie können mehrere Einträge gemeinsam selektieren (<Strg>+<linke Maustaste> bzw. <Shift>+<linke Maustaste>) und über die Schaltfläche <Auswahl umdrehen> die Zuweisung ändern. In jedem Fall bestätigen Sie die Aktion mit der Schaltfläche <Übernehmen>! Shoppingcentervorlagen müssen Sie zusätzlich den gewünschten Shoppingcentern zuordnen. Diese Zuordnung wird am Shoppingcenter vorgenommen. Lesen Sie dazu den Abschnitt Shoppingcentervorlage zuordnen auf Seite 101. Auf dem Tabreiter <Zuordnungen durch Shoppingcentervorlagen> des Regalbefüllungsassistenten werden die Shops dargestellt, die das Regal der speziellen Regalvorlage aufgrund einer Shoppingcentervorlage erhalten haben. Diese Darstellung dient lediglich als Übersicht, eine Bearbeitung der Zuordnung ist nicht möglich. Beachten Sie, dass ein Filter sich auch auf die Darstellung auf diesem Tabreiter auswirkt. 113

Quest One Identity Manager Regalvorlagen löschen Konfigurationsparameter für das Löschen von Regalvorlagen KONFIGURATIONSPARAMETER QER\ITShop\UseITShopTemplates\DeleteRecursive BEDEUTUNG Der Konfigurationsparameter legt fest, ob das rekursive Löschen von Regalvorlagen erlaubt ist. Beim Löschen einer Regalvorlage wird der Konfigurationsparameter QER\ITShop\UseITShopTemplates\DeleteRecursive beachtet. Ist der Konfigurationsparameter aktiviert, können Sie eine Regalvorlage ohne weitere Vorbereitungsarbeiten löschen. Mit dem Löschen einer Regalvorlage werden, die auf dieser Regalvorlage beruhenden Regale und deren Produkte in den Shops ebenfalls gelöscht. Ist der Konfigurationsparameter deaktiviert, gehen Sie wie folgt vor. Globale Regalvorlage löschen: 1. Alle Produkte aus der Regalvorlage entfernen. 2. Globale Regalvorlage löschen. Spezielle Regalvorlage löschen: 1. Alle Produkte aus der Regalvorlage entfernen. 2. Zuweisungen zu Shops und Shoppingcentervorlagen entfernen. 3. Spezielle Regalvorlage löschen. Shoppingcentervorlage löschen: 1. Zuordnung zu Shoppingcentern entfernen. 2. Zuweisungen von speziellen Regalvorlagen an die Shoppingcentervorlage entfernen. 3. Shoppingcentervorlage löschen. Übernahme vorhandener Benutzerkonten, Gruppenzuordnungen und Rollenmitgliedschaften in IT Shop Bestellungen Bei der Inbetriebnahme des Identity Managers können Sie für die vorhandenen Benutzerkonten, Gruppenzuordnungen, Zuweisungen an Rollen IT Shop Bestellungen erzeugen. Für diese Umsetzungen werden über den Customizer verschiedene Methoden zur Verfügung gestellt. Mittels dieser Methoden werden Bestellungen erzeugt, die abgeschlossen und genehmigt sind. Damit sind diese Bestellungen zu einem späteren Zeitpunkt wieder abbestellbar. Zusätzlich zu den initialen Daten für die Bestellungen, können Sie über jede Methode ein kundenspezifisches Skript ausführen, das weitere kundenspezifische Eigenschaften an einer Bestellung besetzt. 114

Einrichten einer IT Shop-Lösung Bestellungen für Benutzerkonten Um Bestellungen für vorhandene Benutzerkonten zu erzeugen, stehen die folgenden Methoden zur Verfügung. Methoden zur Übernahme von Benutzerkonten in IT Shop Bestellungen BASISOBJEKT CUSTOMIZERMETHODE BEDEUTUNG ADSAccount UNSAccountB ADSAccount LDAPAccount NotesUser SAPUser SPSUser EBSUser public void CreateITShopAccount- Order (string CustomScriptName) public void CreateITShopMailOrder (string CustomScriptName) public void CreateITShopOrder (string CustomScriptName) Die Methode erzeugt aus einem vorhandenen Active Directory Benutzerkonto eine Bestellung. Die Methode erzeugt aus einem vorhandenen Unified Namespace Benutzerkonto eine Bestellung. Die Methode erzeugt aus einem vorhandenen Microsoft Exchange Postfach eine Bestellung. Die Methode erzeugt aus einem vorhandenen LDAP Benutzerkonto eine Bestellung. Die Methode erzeugt aus einem vorhandenen Lotus Notes Benutzerkonto eine Bestellung. Die Methode erzeugt aus einem vorhandenen SAP Benutzerkonto eine Bestellung. Die Methode erzeugt aus einem vorhandenen SharePoint Benutzerkonto eine Bestellung. Die Methode erzeugt aus einem vorhandenen EBS Benutzerkonto eine Bestellung. Folgende Voraussetzungen sind zu gewährleisten, damit Bestellungen für vorhandene Benutzerkonten erzeugt werden können. Es ist eine Benutzerkontenressource für den Zielsystembereich (Active Directory, SharePoint Websitesammlung, Lotus Notes, SAP R 3, LDAP, Oracle E-Business Suite) vorhanden. Diese Benutzerkontenressource ist für die Verwendung im IT Shop vorbereitet (siehe Vorbereitung der Produkte zur Bestellung auf Seite 17). Die Benutzerkontenressource ist innerhalb des IT Shops einem Regal zugewiesen. Jedes Benutzerkonto, für welches eine gültige Bestellung erzeugt werden soll, ist mit einer Person verbunden. Die Personen sind Kunden des Shops, zu dem auch die Benutzerkontenressource gehört. So erzeugt der Identity Manager Bestellungen für Benutzerkonten: 1. Gültige Benutzerkontenressource ermitteln. 2. Betroffene Personen ermitteln. 3. IT Shop ermitteln, dem die Personen und die Benutzerkontenressourcen zugewiesen sind. 4. Bestellung mit initialen Daten erzeugen. 5. Kundenspezifisches Skript ausführen. 6. Bestellung speichern (Eintrag in der Tabelle PersonWantsOrg ). 7. Person zur Produktstruktur zuweisen (Eintrag in der Tabelle PersonInITShopOrg ). 115

Quest One Identity Manager 8. Indirekte Ressourcenzuordnung erstellen (Eintrag in der Tabelle PersonHasRessourceTotal ). 9. Eventuell vorhandene direkte Zuordnung einer Benutzerkontenressource löschen (Tabelle PersonHasRessource ). Bestellungen für Gruppenzuordnungen Um Bestellungen für vorhandene Gruppenzuordnungen zu erzeugen, stehen die folgenden Methoden zur Verfügung. Methoden zur Übernahme von Gruppenzuordnungen in IT Shop Bestellungen BASISOBJEKT CUSTOMIZERMETHODE BEDEUTUNG ADSAccountInADSGroup SPSUserInSPSGroup SPSUserHasSPSRLAsgn LDAPAccountInLDAPGroup NotesUserInGroup SAPUserInSAPGroup EBSUserinResp UNSAccountBInUNS- GroupB public void CreateITShopOrder (string CustomScript- Name) Die Methode erzeugt aus einer vorhandenen Active Directory Gruppenmitgliedschaft eine Bestellung. Die Methode erzeugt aus einer vorhandenen SharePoint Gruppenmitgliedschaft eine Bestellung. Die Methode erzeugt aus einer vorhandenen Rollenzuweisung eine Bestellung. Die Methode erzeugt aus einer vorhandenen LDAP Gruppenmitgliedschaft eine Bestellung. Die Methode erzeugt aus einer vorhandenen Lotus Notes Gruppenmitgliedschaft eine Bestellung. Die Methode erzeugt aus einer vorhandenen SAP Gruppenmitgliedschaft eine Bestellung. Die Methode erzeugt aus einer vorhandenen Dirketzuweisung eines EBS Benutzerkontos an eine EBS Berechtigung eine Bestellung. Die Methode erzeugt aus einer vorhandenen Unified Namspace Gruppenmitgliedschaft eine Bestellung. Folgende Voraussetzungen sind zu gewährleisten, damit Bestellungen für vorhandene Gruppenzuordnungen erzeugt werden können. Die Gruppen sind für die Verwendung im IT Shop vorbereitet (siehe Vorbereitung der Produkte zur Bestellung auf Seite 17). Die Gruppen sind innerhalb des IT Shops einem Regal zugewiesen. Jedes Benutzerkonto, für welches eine gültige Bestellung seiner Gruppenzuordnungen erzeugt werden soll, ist mit einer Person verbunden. Die Personen sind Kunden des Shops, zu dem auch die Gruppen gehören. So erzeugt der Identity Manager Bestellungen für Gruppenzuordnungen: 1. Benutzerkonten und ihrer Gruppenzuordnungen ermitteln. 2. Betroffene Personen ermitteln. 116

Einrichten einer IT Shop-Lösung 3. IT Shop ermitteln, dem die Personen und Gruppen zugewiesen sind. 4. Bestellung mit initialen Daten erzeugen. 5. Kundenspezifisches Skript ausführen. 6. Bestellung speichern (Eintrag in der Tabelle PersonWantsOrg ). 7. Person zur Produktstruktur zuweisen (Eintrag in der Tabelle PersonInITShopOrg ). 8. Indirekte Gruppenzuordnung für die betroffenen Benutzerkonten erstellen. 9. Eventuelle direkte Gruppenzuordnung für die betroffenen Benutzerkonten löschen. Bestellungen für Zuweisungen an Rollen Um Zuweisungsbestellungen aus vorhandenen Zuweisungen von Unternehmensressourcen oder Personen an Rollen zu erzeugen, stehen die folgenden Methoden zur Verfügung. Methoden zur Übernahme vorhandener Zuweisungen an Rollen in IT Shop-Bestellungen BASISOBJEKT CUSTOMIZERMETHODE BEDEUTUNG <Rolle>HasADSGroup <Rolle>HasApp <Rolle>HasESet <Rolle>HasSPSGroup <Rolle>HasSPSRLAsgn <Rolle>HasLDAPGroup <Rolle>HasNotesGroup <Rolle>HasRessource <Rolle>HasSAPGroup <Rolle>HasEBSResp <Rolle>HasUNSGroupB PersonInDepartment PersonInProfitCenter PersonInLocality PersonInOrg PersonInAERole public void CreateITShopOrder (string struid_orgproduct, string struid_personordered, string CustomScriptName) Die Methode erzeugt aus einer vorhandenen Zuweisung einer Unternehmensressource an eine Rolle eine Bestellung. Rollen können sein: Abteilung, Kostenstelle, Standort, Geschäftsrolle. Die Customizermethoden werden also auf die entprechenden Basisobjekte DepartmentHas..., ProfitCenterHas..., LocalityHas..., OrgHas... angewendet. Die Methode erzeugt aus einer vorhandenen Zuweisung einer Rolle an eine Person ein Bestellung. Rollen können sein: Abteilung, Kostenstelle, Standort, Geschäftsrolle, Anwendungsrolle. Folgende Vorausssetzungen sind zu gewährleisten, damit Zuweisungsbestellungen aus vorhandenen Zuweisungen an Rollen erzeugt werden können. Für die Zuweisungsbestellung ist eine Zuweisungsressource vorhanden (siehe Zuweisungsbestellungen vorbereiten auf Seite 35). Die Zuweisungsressource ist für die Verwendung im IT Shop vorbereitet (siehe Vorbereitung der Produkte zur Bestellung auf Seite 17). Die Zuweisungsressource ist innerhalb des IT Shops einem Regal als Produkt zugewiesen. Die UID_ITShopOrg dieses Produkts wird als Parameter struid_orgproduct an die Methode übergeben. Eine Person wird als Empfänger für die Zuweisungsbestellung ausgewählt. Die UID_Person dieser Person wird als Parameter struid_personordered an die Methode übergeben. Die ausgewählte Person ist Kunde in dem Shop, zu dem die Zuweisungsressource als Produkt zugewiesen ist. So erzeugt der Identity Manager Zuweisungsbestellungen aus vorhandenen Zuweisungen: 1. Rollen und ihre zugewiesenen Unternehmensressourcen und Personen ermitteln. 117

Quest One Identity Manager 2. Empfänger aus struid_personordered ermitteln. 3. Produkt aus struid_orgproduct ermitteln. 4. Bestellung aus den ermittelten Objekten mit initialen Daten erzeugen. 5. Kundenspezifisches Skript ausführen. 6. Bestellung speichern (Eintrag in Tabelle PersonWantsOrg ). 7. UID_PersonWantsOrg der erzeugten Bestellung in die Spalte UID_PWOOrigin der betroffenen Basistabelle übernehmen. Beispiel zur Erzeugung von Bestellungen für bestehende Benutzerkonten Für die bestehenden SAP Benutzerkonten sollen gültige Bestellungen erzeugt werden, so dass die Benutzerkonten zu einem späteren Zeitpunkt wieder abbestellbar sind. Die Umsetzung soll pro SAP Mandant über eine Aufgabe im Identity Manager ausführbar sein. Das SAP System des SAP Mandanten wird in allen Bestellungen in der Spalte CustomProperty01 erfasst, in der Spalte CustomProperty02 wird die Anmerkung automatisch erzeugt eingetragen. Der Benutzer, der die Aufgabe ausführt, wird in allen Bestellungen als Bestellauslöser (Spalte UID_PersonInserted ) übernommen. Diese Anforderungen können beispielsweise folgendermaßen umgesetzt werden: Erstellen eines kundenspezifischen Skriptes, um weitere Eigenschaften der Bestellung zu ermitteln Erstellen eines Prozesses für die Erzeugung der Bestellungen aus den vorhandenen SAP Benutzerkonten Erstellen einer Methodendefinition, um den Prozess über den Manager auszulösen Beispiel für ein kundenspezifisches Skript Für jede Bestellung (PWO), die aus einem bestehenden SAP Benutzerkonto (Baseobject) erzeugt wird, soll in der Spalte CustomProperty01 das SAP System des SAP Mandanten eingetragen werden. Die Spalte CustomProperty02 erhält den Wert automatisch erzeugt. Dazu wird ein kundenspezifisches Skript DOC_CustomScript erstellt, welches im Prozess übergeben wird. Das kundenspezifische Skript könnte folgendermaßen gestaltet werden: Public Sub DOC_CustomScript (ByVal dbbaseobject As ISingleDbObject, By- Val dbpwo As ISingleDbObject) Dim f As ISqlFormatter = dbpwo.connection.sqlformatter Dim strwhere As String Dim strcpath As String Dim strdestinationname As String = String.Empty ' Ressource WhereClause erstellen und dann ConnectionPath ermitteln strwhere = String.Format("UID_AccProduct in (select UID_AccProduct from ITShopOrg where {0})", _ f.comparison("uid_itshoporg", dbpwo.getvalue("uid_org").string,_ ValType.String, CompareOperator.Equal, FormatterOptions.None)) ' Im ConnectionPath steht der FK auf das Zielsystem (bei SAP UID_SAPMandant) 118

Einrichten einer IT Shop-Lösung strcpath = dbpwo.connection.getsingleproperty("ressource", "ConnectionPath", strwhere).string ' Destinationname aus dem SAP System ermitteln If Not String.IsNullOrEmpty(strCPath) Then strwhere = String.Format("UID_SAPSystem in (select UID_SAPSystem from SAPMandant where {0})", _ f.comparison("uid_sapmandant", strcpath, ValType.String,_ CompareOperator.Equal, FormatterOptions.None)) strdestinationname = Connection.GetSingleProperty("SAPSystem", "Destinationname", strwhere) End If ' wenn kein Destinationname ermittelt wurde, dann Fehlermeldung ausgeben If String.IsNullOrEmpty(strDestinationname) Then Throw New Exception("Der Destinationname konnte nicht ermittelt werden.") End If ' CustomProperties besetzen dbpwo.putvalue("customproperty01", strdestinationname) dbpwo.putvalue("customproperty02", "automatisch erzeugt") End Sub Beispiel für einen Prozess Es wird ein Prozess erstellt, der die Prozessfunktion CallMethod der Prozesskomponente HandleObjectComponent nutzt. Diese Prozessfunktion erlaubt die Ausführung von Customizermethoden. Die Customizermethode CreateITShopOrder (Parameter MethodName ) wird für alle SAP Benutzerkonten (Parameter ObjectType ) eines SAP Mandanten (Parameter WhereClause ) aufgerufen. Der Parameter Param1 übergibt das kundenspezifische Skript DOC_CustomScript, über welches weitere Eigenschaften für die Bestellung definiert werden. Um sicherzustellen, dass der Bestellauslöser ermittelt werden kann, werden über den Parameter AuthenticationString die Authentifizierungsdaten ermittelt. Prozess: Ereignis: Basisobjekttyp: Prozessschritt: Prozessfunktion: DOC_CreateITShopOrders CreateOrder SAPMandant CallMethod CreateITShopOrder CallMethod Parameter: ConnectionProvider ConnectionString MethodName ObjectType Value = VID_GetValueOfDialogdatabases("ConnectionProvider") Value = VID_GetValueOfDialogdatabases("ConnectionString") Value = "CreateITShopOrder" Value = "SAPUser" 119

Quest One Identity Manager Param1 WhereClause AuthenticationString Value = "DOC_CustomScript" Value = "uid_sapmandant ='" & $UID_SAPMandant$ & "'" Value = VID_BuildAuthString() Beispiel für eine Methodendefinition Der Prozess soll pro SAP Mandant über eine Aufgabe im Identity Manager ausgelöst werden. Dazu wird, wie im Abschnitt Methodendefinitionen für die Benutzeroberfläche auf Seite 208 im Handbuch Konfiguration beschrieben, mit dem Designer eine Methodendefinition erstellt und der Rechtegruppe vi_4_namespaceadmin_sapr3 zugewiesen. Für die Methode IT Shop Bestellungen erzeugen wird die Objektdefinition SAPMandant gewählt. Das Methodenskript könnte folgendermaßen aussehen: Try ' Generiert das Ereignis fuer das Erzeugen der IT Shop Bestellungen VI.DB.JobGeneration.JobGen.Generate(Base, "CreateOrder") MsgBox (#LD("Prozess zum Erzeugen der IT Shop Bestellungen wird generiert!")#,_ MsgBoxStyle.OKOnly Or MsgBoxStyle.Information, "Information") Bei Fehler in der Methode wird eine Fehlermeldung ausgegeben Catch ex As Exception Throw New ViException(#LD("In der Methode 'IT Shop Bestellungen erzeugen' trat ein Fehler auf.")#, ex) End Try Erstellen kundenspezifischer Mailvorlagen für Benachrichtigungen Werkzeug: Identity Manager mit der Anwendungsrolle <Request & Fulfillment>\<IT Shop>\<Administratoren> Manager Zur einfachen Erstellung von Benachrichtigungen ist im Identity Manager ein Mailvorlageneditor integriert. Mit dem Mailvorlageneditor können Mailtexte im WYSIWYG-Modus erstellt und bearbeitet werden. In einer Mailvorlage werden die Mailtexte in verschiedenen Sprachen definiert. Somit wird bei Generierung einer E-Mail-Benachrichtigung die Sprache des Empfängers berücksichtigt. 120

Einrichten einer IT Shop-Lösung Mailvorlagen bearbeiten Sie in der Kategorie <IT Shop>\<Basisdaten zur Systemkonfiguration>\<Mailvorlagen>. Erstellen einer Mailvorlage Um eine Mailvorlage zu kopieren 1. Wählen Sie die Kategorie die Mailvorlage IT Shop Basisdaten zur Systemkonfiguration Mailvorlagen. 2. Wählen Sie in der Ergebnisliste die Mailvorlage, die Sie kopieren möchten. 3. Wählen Sie die Aufgabe Stammdaten bearbeiten. 4. Wählen Sie die Aufgabe Mailvorlage kopieren... 5. Geben Sie im Eingabefeld Name der Kopie den Namen der neuen Mailvorlage an. 6. Klicken Sie OK. Um die Vorschau einer Mailvorlage anzuzeigen 1. Wählen Sie die Kategorie die Mailvorlage IT Shop Basisdaten zur Systemkonfiguration Mailvorlagen. 2. Wählen Sie in der Ergebnisliste die Mailvorlage und wählen Sie die Aufgabe Stammdaten bearbeiten. 3. Wählen Sie die Aufgabe Vorschau... 4. Wählen Sie das Basisobjekt und klicken Sie OK. 121

Quest One Identity Manager Allgemeine Eigenschaften einer Mailvorlage Für eine Mailvorlage werden die folgenden allgemeinen Eigenschaften abgebildet: Mailvorlage Geben Sie den Namen der Mailvorlage an. Mit diesem Namen werden die Mailvorlagen in den Administrationswerkzeugen und im Web Portal angezeigt. Für die sprachabhängige Verwendung des Namens übersetzen Sie diesen über die Schaltfläche neben dem Eingabefeld. Basisobjekt Wählen Sie das Basisobjekt der Mailvorlage. Für Benachrichtigungen im IT Shop verwenden Sie die Basisobjekte Bestellvorgänge (Tabelle PersonWantsOrg ) und Hilfstabelle Bestellvorgänge (Tabelle PWOHelperPWO ). Nur Mailvorlagen dieser Basisobjekte werden in der Kategorie <IT Shop>\<Basisdaten zur Systemkonfiguration>\<Mailvorlagen> angezeigt. Mailvorlagen anderer Objekte bearbeiten Sie im Designer. Lesen Sie dazu auch den Abschnitt Bearbeiten von Mailvorlagen, Seite 225 ff im Handbuch Konfiguration. Bericht Wenn Sie in die Mailvorlage ein Bericht einbinden, wählen Sie hier den Bericht aus. Beschreibung Tragen Sie die Beschreibung der Mailvorlage ein. Für die sprachabhängige Verwendung der Beschreibung übersetzen Sie diese über die Schaltfläche neben dem Eingabefeld. Zielformat Wählen Sie das Format, in dem die E-Mail Benachrichtigung generiert wird. Zielformate für Mailvorlagen ZIELFORMAT HTML TXT BEDEUTUNG Die E-Mail Benachrichtigung wird im HTML-Format formatiert. Im HTML-Format können Formatierungen enthalten sein. Die E-Mail Benachrichtigung wird im Text-Format formatiert. Im Text-Format sind keine Formatierungen enthalten. Designtyp Geben Sie an, in welchem Design die E-Mail Benachrichtigung generiert wird. Designtypen für Mailvorlagen DESIGNTYP Mailvorlage Report Mailvorlage, Report im Anhang BEDEUTUNG Die generierte E-Mail Benachrichtigung enthält den Mailbody entsprechend der Maildefinition. Die generierte E-Mail Benachrichtigung enthält den unter <Bericht> angegebenen Bericht als Mailbody. Die generierte E-Mail Benachrichtigung enthält den Mailbody entsprechend der Maildefinition. Der unter <Bericht> angegebene Bericht wird als PDF-Datei an die Benachrichtigung angehängt. 122

Einrichten einer IT Shop-Lösung Wichtigkeit Geben Sie die Wichtigkeit für die E-Mail Benachrichtigung an. Zulässig sind die Werte Niedrig, Normal und Hoch. Vertraulichkeit Geben Sie die Vertraulichkeit für die E-Mail Benachrichtigung an. Zulässig sind die Werte Normal, Persönlich, Privat und Vertraulich. Abbestellen erlaubt Mit dieser Option legen Sie fest, ob ein Empfänger die E-Mail Benachrichtigung abbestellen kann. Ist die Option aktiviert, kann die E-Mail Benachrichtigung über das Web Portal abbestellt werden. Erstellen und Bearbeiten einer Maildefinition In einer Mailvorlage können die Mailtexte in verschiedenen Sprachen definiert werden. Somit wird bei Generierung einer E-Mail-Benachrichtigung die Sprache des Empfängers berücksichtigt. So erstellen Sie eine neue Maildefinition: 1. Klicken Sie auf die Einfügen-Schaltfläche neben der Auswahlliste <Maildefinition>. 2. Wählen Sie in der Auswahlliste <Sprachkultur> die gewünschte Sprachkultur, für welche die Maildefinition gelten soll. Angezeigt werden alle Sprachkulturen, die aktiviert sind. Um weitere Sprachkulturen zu verwenden, aktivieren Sie die entsprechenden Länder in der Kategorie <Basisdaten>\<Länderinformationen>. Weitere Informationen dazu erhalten Sie im Abschnitt Abbildung der Länderinformationen auf Seite 278. 3. Erfassen Sie im Eingabefeld <Betreff> die Betreffzeile. Für die Bearbeitung des Mailbody ist ein Mailtexteditor mit Bearbeitungs- und Formatierungsfunktionen im Microsoft Word-Stil integriert. Um eine vorhandene Maildefinition zu bearbeiten, wählen Sie in der Auswahlliste <Maildefinition> die Sprachkultur aus. Verwenden von Eigenschaften des Basisobjektes In der Betreffzeile und im Mailbody können Sie alle Eigenschaften des unter <Basisobjekt> eingetragenen Objektes verwenden. Zusätzlich können Sie die Eigenschaften der Objekte verwenden, die per Fremdschlüsselbeziehung referenziert werden. Zum Zugriff auf die Eigenschaften nutzen Sie die $-Notation. Die Verwendung der $-Notation und weitere Syntaxbeispiele sind im Abschnitt Verwendung der $-Notation auf Seite 331 im Handbuch Konfiguration erläutert. Beispiel: Ein Empfänger im IT Shop soll eine E-Mail Benachrichtigung zum Status seiner Bestellung erhalten. Basisobjekt: PersonWantsOrg 123

Quest One Identity Manager Betreff: Mailbody: Statusänderung Antrag zur Zuweisung von "$DisplayOrg[D]$" Sehr geehrte(r) $FK(UID_PersonOrdered).Salutation[D]$ $FK(UID_PersonOrdered).FirstName$ $FK(UID_PersonOrdered).LastName$, der Status zum folgenden Antrag wurde am $DateHead:Date$ geändert. Produkt: $DisplayOrg[D]$ Bestellt durch: $DisplayPersonInserted$ Begründung: $OrderReason$ Derzeitiger Status Ihres Antrags: Entscheidung: Positiv Genehmiger: $DisplayPersonHead[D]$ Begründung: $ReasonHead[D]$ Nach entsprechender Formatierung könnte die generierte E-Mail Benachrichtigung beispielweise folgendermaßen aussehen: Verwenden von Hyperlinks zum Web Portal In den Mailbody können Sie Hyperlinks zum Web Portal einfügen. Klickt der Empfänger in der E-Mail Benachrichtigung auf den Hyperlink, wird er auf eine Seite im Web Portal geleitet und kann dort weitere Aktionen ausführen. In der Standardauslieferung wird dieses Verfahren bei IT Shop Bestellungen und bei der Attestierung eingesetzt. Voraussetzung für die Nutzung dieses Verfahrens: Der Konfigurationsparameter "QER\ITShop\WebShop\BaseURL ist aktiviert und enthält den URL-Pfad zum Web Portal. http://<server>/<app> mit: <Server> = Name des Servers <App> = Pfad zum Installationsverzeichnis des Web Portals Um einen Hyperlink zum Web Portal im Mailbody einzufügen, gehen Sie wie folgt vor: 1. Klicken Sie im Mailbody an die Stelle, an der Sie einen Hyperlink einfügen möchten. 124

Einrichten einer IT Shop-Lösung 2. Fügen Sie über das Kontextmenü <Hyperlink...> einen neuen Hyperlink ein. 3. Geben Sie im Eingabefeld <Text anzeigen> den Text des Hyperlinks ein. 4. Setzen Sie die Option <Datei oder Webseite>. 5. Geben Sie im Eingabefeld <Adresse> die Adresse der Seite im Web Portal ein, die geöffnet werden soll. Hierbei können Sie Standardfunktionen verwenden oder auf Parameter von Prozessen zurückgreifen. Lesen Sie dazu den Abschnitt Standardfunktionen für die Erstellung von Hyperlinks auf Seite 125. 6. Übernehmen Sie die Eingaben über die Schaltfläche <OK>. Erstellen eines Hyperlinks Standardfunktionen für die Erstellung von Hyperlinks Zur Erstellung von Hyperlinks werden Ihnen einige Standardfunktionen zur Seite gestellt. Die Funktionen können Sie direkt beim Einfügen eines Hyperlinks im Mailbody oder in Prozessen verwenden. Standardfunktionen für IT Shop Bestellungen Das Skript VI_BuildITShopLinks enthält eine Sammlung von Standardfunktionen, um Hyperlinks für die direkte Entscheidung von IT Shop Bestellungen aus E-Mail-Benachrichtigungen zusammenzusetzen. Funktionen des Skriptes VI_BuildITShopLinks FUNKTION VI_BuildITShopLink_Show_for_Approver VI_BuildITShopLink_Show_for_Requester VI_BuildITShopLink_Approve VI_BuildITShopLink_Deny VI_BuildITShopLink_Unsubscribe VERWENDUNG Öffnet die Übersichtsseite zur Genehmigung der Bestellungen im Web Portal. Öffnet die Übersichtsseite über Bestellungen im Web Portal. Genehmigt eine Bestellung und öffnet die Seite zur Genehmigung im Web Portal. Lehnt eine Bestellung ab und öffnet die Seite zur Genehmigung im Web Portal. Öffnet die Seite zur Konfiguration der E-Mail Benachrichtigungen im Web Portal. Diese Funktion wird in Prozessen zur Abbestellung von E-Mail Benachrichtigungen eingesetzt. Direkte Eingabe einer Funktion Eine Funktion wird beim Einfügen eines Hyperlinks im Eingabefeld <Adresse> referenziert: 125