Wie eine Attribute-Level Remediation in OIA funktioniert…

… wissen wir leider auch nicht.

Das heißt: Eigentlich schon. Aber es ist nicht gerade so, dass die Funktion besonders sinnvoll erscheint. Doch was ist damit eigentlich gemeint?

In Oracle Identity Analytics werden Daten vereinfacht gesagt wie folgt strukturiert:

image

 

Es gibt also globale Benutzer (darunter versteht der OIA Identitäten, also reale Menschen) und darunter Accounts. Sprich: Ein Mensch kann über mehrere Accounts (z.B. Anmeldekonten) verfügen. Jedem Account können mehrere Attribute zugewiesen sein, die den Account besser beschreiben. Dabei können Attribute auch verschachtelt werden. Beispielsweise ist es so möglich, folgendes abzubilden:

Global User > Account > Group Membership > Folder Permissions

In diesem Fall kann also ein Mitarbeiter über einen Account verfügen, der Mitglied in verschiedenen Gruppen ist, wobei jede Gruppe über spezifische Verzeichnisberechtigungen in irgendwelchen Netzwerk-Shares verfügt.

Attribute-Level Remediation

Unter Remediation versteht man in der Welt des OIA die Notwendigkeit von Korrekturen, die immer dann anstehen sollten, wenn eine IST-Situation von einem SOLL abweicht. Hat ein Mitarbeiter z.B. das Unternehmen verlassen, sein Account existiert aber nach wie vor im Active Directory, müsste bei einer Identity Certification genau das herauskommen: Der Zertifizierer bekommt den Mitarbeiter vorgelegt und lehnt ihn direkt ab (disclaim). Der OIA erkennt den Unterschied und führt den Benutzer der Korrekturverfolgung zu (Remediation Tracking).

Was aber, wenn nicht der Benutzer (bzw. die Identität oder wie der OIA sagen würde: der Global User), und auch nicht in dem Sinne dessen Account, sondern stattdessen Gruppenmitgliedschaften zertifiziert werden sollen – bzw. korrigiert werden sollen, falls IST und SOLL voneinander abweichen?

Dann ließe sich das – nach offizieller Aussage – mittels der Data Owner Certification abbilden. Neben der Benutzer-, Rollen- und Ressourcenbasierenden Zertifizierung ist das die Nummer vier im Bunde:

image

 

In dieser Art der Zertifizierung ließe sich nämlich auf Ebene der Attribute arbeiten. Dazu werden einfach die gewünschten Attribute ausgewählt:

image

 

Doch nun kommt der Pferdefuß: Wie bei allen anderen Zertifizierungstypen auch muss natürlich noch die Frage beantwortet werden, wer denn nun die Zertifizierung ausführen soll. Bei einer Identitätsbasierenden Zertifizierung kann das z.B. der Manager der jeweiligen Ressource sein, oder aber der Manager der jeweiligen Abteilung.

Bei der Data Owner Zertifizierung kann entweder nur ein einziger Mitarbeiter dazu auserkoren werden, oder aber – hence the name – der jeweilige Data Owner. Ein einziger Mitarbeiter wäre in den meisten aller Fälle unsinnig. Denn der müsste dann ja die entsprechenden Attribute aller Mitarbeiter des Unternehmens zertifizieren. Und in der Annahme, dass nur Großunternehmen ein Produkt wie den OIA einsetzen, gehe ich davon aus, dass einen Mitarbeiter mit dem Thema zu beschäftigen vermutlich gegen das Arbeitsschutzgesetz verstößt (oder wird Folter hier nicht berücksichtigt?).

Data Owner

Wer ist denn nun also der Data Owner?

Die Ressourcenansicht zeigt: Jedes einzelne Attribut an jedem einzelnen Account hat einen eigenen Data Owner:

image

 

Interessanter Fact am Rande: Die Frage danach ob es Sinn ergibt oder nicht mal beiseite gestellt, lassen sich Data Owner über die OIA Oberfläche hinzufügen. Die Sache ist nur die: Man kann sie nicht wieder entfernen (nur ein Hinweis, falls es jemand versuchen sollte).

Da aber auch hier ein gewissen Mengenproblem dem Tatendrang die Motivationsgrundlage entzieht, stellt sich also eher die Frage, ob sich der Data Owner beim Importieren der Accounts setzen lässt. Einen pfiffigen BI-Experten mit Kenntnissen in der Bedienung eines modernen ETL Tools vorausgesetzt wäre das doch die Lösung. Richtig?

Falsch. Denn der Data Owner lässt sich eben nicht automatisiert importieren.

Ende der Geschichte.

Falls jemand dazu andere Informationen vorliegen hat, oder einen Weg kennt, das Problem zu lösen, freue ich mich über einen Kommentar. Anderenfalls greife ich es vielleicht noch einmal auf, sollten wir selbst dazu eine Lösung finden (mir schwebt hier die Implementierung eines benutzerdefinierten Post-AccountImport Jobs vor – ähnlich den MaintenanceJobs und einer konfigurierbaren Zuordnung zwischen Attribute-Values und Data Ownern).

Comments are closed

Über die Autoren

Christian Jacob ist Leiter des Geschäftsbereiches Softwarearchitektur und -entwicklung und zieht als Trainer im Kontext der .NET Entwicklung sowie ALM-Themen Projekte auf links.

Marcus Jacob fokussiert sich auf die Entwicklung von Office-Addins sowie Windows Phone Apps und gilt bei uns als der Bezwinger von Windows Installer Xml.

Martin Kratsch engagiert sich für das Thema Projektmanagement mit dem Team Foundation Server und bringt mit seinen Java- und iOS-Kenntnissen Farbe in unser ansonsten von .NET geprägtes Team.

Aktuelle Kommentare

Comment RSS