Zugriffsrichtlinien

Zugriffsrichtlinien definieren automatisierte Genehmigungsregeln für Zugriffsüberprüfungskampagnen. Bei ordnungsgemäßer Konfiguration reduzieren Richtlinien den manuellen Aufwand während Zugriffsüberprüfungen erheblich, indem sie Zugriff, der vordefinierte Kriterien erfüllt, automatisch genehmigen.

Überblick

Richtlinien arbeiten zusammen mit Kampagnenregeln, um Überprüfungsentscheidungen zu automatisieren. Jede Richtlinie enthält Bedingungen und Aktionen, die während einer Kampagne gegen Konten ausgewertet werden. Wenn ein Konto die Kriterien einer Richtlinie erfüllt, kann die Richtlinie den Zugriff automatisch genehmigen, ablehnen oder zur Überprüfung markieren.

Wie Richtlinien und Regeln zusammenarbeiten

Richtlinien und Regeln werden während Kampagnen gemeinsam ausgewertet, um automatisierte Entscheidungen zu treffen:

1. Ablehnung hat Priorität - Wenn eine Richtlinie oder Regel eine Ablehnungsbedingung erfüllt, wird das Konto abgelehnt
2. Genehmigen bei Übereinstimmung - Wenn eine Richtlinie oder Regel eine Genehmigungsbedingung erfüllt (und keine Ablehnung übereinstimmte), wird das Konto genehmigt
3. Andernfalls manuelle Überprüfung - Wenn keine Bedingungen übereinstimmen, wird das Konto zur manuellen Überprüfung auf ausstehend gesetzt

Hauptvorteile

• Überprüfer-Arbeitsaufwand reduzieren - Routinezugriff, der Compliance-Kriterien erfüllt, automatisch genehmigen
• Konsistenz gewährleisten - Die gleiche Genehmigungslogik über alle Kampagnen hinweg anwenden
• Standards durchsetzen - Richtlinien erstellen, die die Zugriffs-Governance-Anforderungen Ihrer Organisation kodifizieren
• Überprüfungen beschleunigen - Kampagnen schneller abschließen, indem offensichtliche Entscheidungen automatisiert werden

---

Richtlinientypen

Hydden.Control unterstützt vier Richtlinientypen, die jeweils für unterschiedliche Zugriffs-Governance-Szenarien konzipiert sind:

Typ	Beschreibung	Anwendungsfall
Rollenbasierter Zugriff	Zugriff basierend auf Benutzerrollen innerhalb der Organisation automatisch genehmigen	Zugriff genehmigen, wenn Benutzer angemessene Rollen für ihre Jobfunktion haben
Eigentümerkonto-Genehmigung	Alle Konten im Besitz von Benutzern mit bestimmten Rollen automatisch genehmigen	Managern oder Teamleitern vertrauen, Konten angemessen zu besitzen
Anwendungszugriff	Zugriff auf bestimmte Anwendungen basierend auf Rollenzuweisungen automatisch genehmigen	Standardanwendungszugriff für Benutzer in bestimmten Rollen gewähren
Gruppenmitgliedschaft	Gruppenmitgliedschaften basierend auf Rollenzuweisungen automatisch genehmigen	Erwartete Gruppenmitgliedschaften automatisch genehmigen

Rollenbasierter Zugriff

Verwenden Sie rollenbasierte Zugriffsrichtlinien, wenn Zugriffsentscheidungen auf der Rolle eines Benutzers in der Organisation basieren sollten. Zum Beispiel, Zugriff auf Finanzanwendungen für Benutzer mit der Rolle "Finanzanalyst" automatisch genehmigen.

Eigentümerkonto-Genehmigung

Verwenden Sie Eigentümerkonto-Genehmigungsrichtlinien, um bestimmten Rolleninhabern bei ihren Kontobesitz-Entscheidungen zu vertrauen. Zum Beispiel, alle Konten im Besitz von Benutzern mit der Rolle "Manager" automatisch genehmigen, da Managern vertraut wird, den Zugriff ihres Teams angemessen zu verwalten.

Anwendungszugriff

Verwenden Sie Anwendungszugriffsrichtlinien, um Standardanwendungszugriff basierend auf Rollen zu gewähren. Zum Beispiel, Zugriff auf das Firmenintranet für alle Mitarbeiter automatisch genehmigen oder CRM-Zugriff für Vertriebsteammitglieder gewähren.

Gruppenmitgliedschaft

Verwenden Sie Gruppenmitgliedschaftsrichtlinien, um erwartete Gruppenmitgliedschaften automatisch zu genehmigen. Zum Beispiel, Mitgliedschaft in der Gruppe "Engineering" für Benutzer mit der Rolle "Entwickler" automatisch genehmigen.

---

Richtlinienstatus

Richtlinien können sich in einem von drei Status befinden:

Status	Beschreibung
Aktiv	Richtlinie erzwingt Regeln und wird während Kampagnen ausgewertet
Inaktiv	Richtlinie existiert, wird aber nicht ausgewertet (pausiert)
Entwurf	Richtlinie befindet sich in Entwicklung und erzwingt noch keine Regeln

Richtlinienstatus verwalten

Verwenden Sie den Status Inaktiv, um eine Richtlinie vorübergehend zu pausieren, ohne sie zu löschen. Dies ist nützlich bei der Fehlerbehebung oder wenn eine Richtlinie vorübergehende Anpassungen benötigt.

---

Richtlinie erstellen

Das Erstellen oder Bearbeiten einer Richtlinie folgt einem vierstufigen Assistenten, der Sie durch den Konfigurationsprozess führt.

Schritt 1: Grundlegende Informationen

Beginnen Sie mit grundlegenden Informationen über Ihre Richtlinie.

1. Navigieren Sie zu Richtlinien und klicken Sie auf + Richtlinie erstellen (oder verwenden Sie Aus Vorlage, um mit einer vordefinierten Vorlage zu beginnen).
2. Geben Sie einen Richtliniennamen ein, der den Zweck der Richtlinie klar beschreibt (z.B. "Manager-Konten automatisch genehmigen").
3. Fügen Sie optional eine Beschreibung hinzu, um zu erklären, wann und warum diese Richtlinie gilt.
4. Wählen Sie einen Richtlinientyp aus dem Dropdown-Menü:
   • Rollenbasierter Zugriff
   • Eigentümerkonto-Genehmigung
   • Anwendungszugriff
   • Gruppenmitgliedschaft
5. Klicken Sie auf Weiter.

Schritt 2: Einstellungen

Wählen Sie die Einstellungen für die Richtlinie aus.

1. Wählen Sie einen Status:
   • Aktiv - Richtlinie wird sofort ausgewertet
   • Inaktiv - Richtlinie wird gespeichert, aber nicht ausgewertet
   • Entwurf - Richtlinie befindet sich in Entwicklung
2. Legen Sie die Prioritätsstufe fest (1-100). Richtlinien mit höherer Priorität werden zuerst ausgewertet.
3. Schalten Sie Auto-Genehmigung aktiviert um, wenn diese Richtlinie übereinstimmenden Zugriff automatisch genehmigen soll, ohne dass eine Regelauswertung erforderlich ist.

Priorität ist wichtig

Richtlinien mit höheren Prioritätsnummern werden zuerst ausgewertet. Wenn eine hochpriorisierte Richtlinie ein Konto genehmigt, werden niedrigerpriorisierte Richtlinien möglicherweise nicht ausgewertet. Planen Sie Ihre Prioritätshierarchie sorgfältig.

Schritt 3: Zugeordnete Ressourcen

Wählen Sie die Ressourcen aus, für die diese Richtlinie gilt. Die verfügbaren Ressourcen hängen von Ihrem Richtlinientyp ab.

1. Zugeordnete Rollen - Wählen Sie Rollen aus Ihren konfigurierten Rollen. Die Richtlinie gilt für Konten, die diesen Rollen zugeordnet sind.
2. Zielanwendungen - Wählen Sie Anwendungen aus Ihren verbundenen Datenquellen. Die Richtlinie bewertet Zugriff auf diese Anwendungen.
3. Zielgruppen - Wählen Sie Gruppen aus, für die diese Richtlinie den Mitgliedschaftszugriff verwaltet.

Verwenden Sie das Suchfeld, um Ressourcen schnell zu finden. Klicken Sie auf eine Ressource, um sie auszuwählen oder abzuwählen. Ausgewählte Ressourcen erscheinen mit einem Häkchen.

Ressourcenauswahl

Für Rollenbasierte Zugriffsrichtlinien konzentrieren Sie sich auf die Auswahl der entsprechenden Rollen. Für Anwendungszugriffsrichtlinien wählen Sie sowohl die Rollen als auch die Zielanwendungen aus.

Schritt 4: Überprüfen & Speichern

Überprüfen Sie Ihre Richtlinienkonfiguration vor dem Speichern.

1. Überprüfen Sie alle konfigurierten Einstellungen:
   • Grundlegende Informationen (Name, Typ, Status, Priorität)
   • Zugeordnete Ressourcen (Rollen, Anwendungen, Gruppen)
   • Regeln und Bedingungen
2. Klicken Sie auf Bearbeiten in einem beliebigen Abschnitt, um Änderungen vorzunehmen.
3. Klicken Sie auf Richtlinie speichern, um die Richtlinie zu erstellen oder zu aktualisieren.

Änderungen an aktiven Richtlinien

Änderungen an aktiven Richtlinien treten sofort in Kraft und können laufende Kampagnen beeinflussen. Erwägen Sie, die Richtlinie auf Inaktiv zu setzen, während Sie wesentliche Änderungen vornehmen.

---

Richtlinienauswertung

Das Verständnis, wie Richtlinien ausgewertet werden, hilft Ihnen, effektive Automatisierungsregeln zu entwerfen.

Auswertungsablauf

1. Statusprüfung - Nur Aktive Richtlinien werden ausgewertet. Inaktive und Entwurfs-Richtlinien werden übersprungen.
2. Ressourcenabgleich - Die Richtlinie prüft, ob die zugeordneten Ressourcen des Kontos (Rollen, Anwendungen, Gruppen, Eigentümer) mit den konfigurierten Ressourcen der Richtlinie übereinstimmen.
3. Auto-Genehmigungsprüfung - Wenn die Richtlinie Auto-Genehmigung aktiviert hat und die Ressourcen übereinstimmen, wird das Konto sofort genehmigt.
4. Regelauswertung - Wenn Kampagnenregeln konfiguriert sind und die Richtlinie auf eine Kampagne angewendet wird, werden die Bedingungen jeder Regel gegen die Attribute des Kontos ausgewertet.
5. Aktionsausführung - Wenn Bedingungen übereinstimmen, wird die angegebene Aktion (genehmigen, ablehnen oder markieren) angewendet.
6. Standardverhalten - Wenn keine Regeln übereinstimmen und Auto-Genehmigung deaktiviert ist, fährt das Konto mit der nächsten Richtlinie fort oder bleibt ausstehend.

Prioritätsreihenfolge

Richtlinien werden in Prioritätsreihenfolge ausgewertet (höchste Nummer zuerst). Dies ermöglicht Ihnen:

• Hochprioritäre Ablehnungsrichtlinien zu erstellen, die Zugriff unabhängig von anderen Richtlinien blockieren
• Genehmigungsrichtlinien zu schichten, bei denen spezifischere Richtlinien Vorrang haben
• Auffang-Richtlinien mit niedrigerer Priorität als Fallback zu setzen

Beispiel Auswertungsszenario

Betrachten Sie diese Richtlinien in Auswertungsreihenfolge:

1. Priorität 90: Ablehnen, wenn Konto beendet ist (Ablehnungsaktion)
2. Priorität 80: Auto-Genehmigung, wenn Eigentümer ein Manager ist (Auto-Genehmigung aktiviert)
3. Priorität 50: Genehmigen, wenn Rolle "Standardmitarbeiter" für interne Anwendungen ist
4. Priorität 10: Zur Überprüfung markieren, wenn keine andere Richtlinie übereinstimmte

Ein Konto im Besitz eines Managers würde von Richtlinie #2 genehmigt werden und niemals Richtlinien #3 oder #4 erreichen.

---

Auto-Genehmigungsfunktion

Der Umschalter Auto-Genehmigung aktiviert bietet einen vereinfachten Genehmigungsmechanismus.

Wie Auto-Genehmigung funktioniert

Wenn aktiviert:

• Wenn die Ressourcen des Kontos mit den konfigurierten Ressourcen der Richtlinie übereinstimmen → Sofortige Genehmigung
• Keine Regelauswertung erforderlich
• Schnellster Weg zur Genehmigung

Wenn deaktiviert:

• Regeln müssen konfiguriert und ausgewertet werden
• Feinere Kontrolle über Genehmigungsentscheidungen
• Besser für komplexe bedingte Logik

Wann Auto-Genehmigung verwendet werden sollte

Auto-Genehmigung verwenden, wenn:

• Sie bestimmten Rolleninhabern vollständig vertrauen (z.B. alle von Managern besessenen Konten)
• Standardanwendungszugriff für bestimmte Rollen automatisch sein sollte
• Sie einfache, ressourcenbasierte Genehmigung ohne Bedingungen wünschen

Stattdessen Regeln verwenden, wenn:

• Genehmigung von bestimmten Attributwerten abhängt
• Sie mehrere Bedingungen kombinieren müssen
• Unterschiedliche Aktionen basierend auf unterschiedlichen Kriterien angewendet werden sollten

---

Kampagnenintegration

Richtlinien werden auf Kampagnen angewendet, um Überprüfungsentscheidungen zu automatisieren.

Richtlinien auf Kampagnen anwenden

1. Beim Erstellen einer Kampagne wählen Sie die anzuwendenden Richtlinien im Schritt Automatisierung & Regeln aus.
2. Jede Richtlinie kann einen Schwellenprozentsatz (0-100) haben - den Prozentsatz der Bedingungen, die erfüllt sein müssen, damit die Richtlinie gilt. Zum Beispiel:
   • 100% Schwellenwert: Alle Bedingungen müssen übereinstimmen (strikte Durchsetzung)
   • 75% Schwellenwert: Mindestens 75% der Bedingungen müssen übereinstimmen (flexible Durchsetzung)
   • 0% Schwellenwert: Mindestens eine Bedingung muss übereinstimmen (nachsichtige Durchsetzung)
3. Einzelne Richtlinien pro Kampagne aktivieren oder deaktivieren.
4. Richtlinien können jederzeit für eine Kampagne aktualisiert werden, Änderungen treten sofort in Kraft.

Schwellenwertkonfiguration

Der Schwellenprozentsatz wird pro Kampagnen-Richtlinien-Zuordnung konfiguriert, nicht in der Richtlinie selbst. Dies ermöglicht es, dieselbe Richtlinie mit unterschiedlichen Strenge-Niveaus über mehrere Kampagnen hinweg anzuwenden.

Richtlinienverhalten in Kampagnen

Während der Kampagnenausführung:

• Ausgewählte Richtlinien werden für jedes Konto in der Kampagne ausgewertet
• Richtlinien werden in Prioritätsreihenfolge ausgewertet
• Die erste übereinstimmende Richtlinie bestimmt die Entscheidung
• Konten, die keiner Richtlinie entsprechen, bleiben zur manuellen Überprüfung ausstehend

Kampagnenrichtlinien anzeigen

Um zu sehen, welche Richtlinien auf eine Kampagne angewendet werden:

1. Öffnen Sie die Kampagnendetails
2. Navigieren Sie zur Registerkarte Richtlinien & Regeln
3. Angewandte Richtlinien, ihre Regeln und Bedingungen anzeigen

---

Richtlinien verwalten

Die Richtlinienseite bietet Werkzeuge zur Verwaltung Ihrer Richtlinienbibliothek.

Richtlinien-Dashboard

Die Richtlinienseite zeigt:

• Statistiken - Anzahl Aktiv, Anzahl Inaktiv, Anzahl Auto-Genehmigung aktiviert, Gesamtzahl
• Suche - Richtlinien nach Name oder Beschreibung finden
• Filter - Nach Typ und/oder Status filtern
• Sortieroptionen - Nach Priorität, Name, Status oder zuletzt aktualisiert sortieren
• Ansichtsmodi - Zwischen Rasteransicht (Karten) und Tabellenansicht umschalten

Richtlinienkarten

In der Rasteransicht zeigt jede Richtlinie:

• Richtlinienname und Beschreibung
• Richtlinientyp-Badge
• Statusindikator (aktiv/inaktiv/entwurf)
• Prioritätsstufe
• Auto-Genehmigungsindikator
• Aktionsmenü (Ansehen, Bearbeiten, Deaktivieren, Löschen)

Schnellaktionen

Aktion	Beschreibung
+ Richtlinie erstellen	Richtlinienerstellungsassistenten starten
Aus Vorlage	Eine Richtlinie aus einer vordefinierten Vorlage erstellen
Aus Rolle generieren	Eine Richtlinie basierend auf Rollenanalyse automatisch generieren
Status umschalten	Eine Richtlinie schnell aktivieren oder deaktivieren

Aus Rolle generieren

Hydden.Control kann automatisch Richtlinien basierend auf Rollenanalyse generieren:

1. Klicken Sie auf Aus Rolle generieren auf der Richtlinienseite.
2. Wählen Sie eine Rolle zur Analyse aus.
3. Das System führt eine umfassende Rollenanalyse durch:
   • Gesamteigentümer und Konten: Anzahl der Benutzer mit der Rolle und ihre Konten
   • Gruppenmitgliedschaften: Gruppen, die häufig mit Rollenmitgliedern verbunden sind, einschließlich Mitgliedschaftsprozentsatz
   • Anwendungszugriff: Anwendungen, auf die häufig von Rollenmitgliedern zugegriffen wird, einschließlich Zugriffsprozentsatz
   • Zugriffsmuster: Statistische Analyse des typischen Zugriffs für die Rolle
4. Eine Richtlinie wird mit Regeln generiert, um Zugriff entsprechend dieser Muster zu genehmigen:
   • Gruppenmitgliedschaftsrichtlinien für Gruppen, denen >75% der Rollenmitglieder angehören
   • Anwendungszugriffsrichtlinien für Anwendungen, auf die >75% der Rollenmitglieder zugreifen
5. Überprüfen und passen Sie die generierte Richtlinie nach Bedarf an.

Generierte Richtlinien

Automatisch generierte Richtlinien verwenden eine Standardpriorität von 50 und werden mit Status Aktiv erstellt. Das System speichert detaillierte Rollenanalysedaten einschließlich Kontozahlen, Mitgliedschaftsprozentsätzen und Zugriffsprozentsätzen. Überprüfen Sie generierte Richtlinien immer, um sicherzustellen, dass sie Ihren Anforderungen entsprechen.

Rollenanalyse-Details

Rollenanalyse bietet tiefe Einblicke in Zugriffsmuster:

Analysekomponente	Beschreibung
Gruppenbeziehungen	Zeigt, welchen Gruppen Rollenmitglieder typischerweise angehören, mit Mitglieds-/Nichtmitgliedszahlen und Mitgliedschaftsprozentsatz
Anwendungsbeziehungen	Zeigt, auf welche Anwendungen Rollenmitglieder typischerweise zugreifen, mit Zugriff/kein-Zugriff-Zahlen und Zugriffsprozentsatz
Statistische Schwellenwerte	Verwendet Prozentsatzschwellenwerte, um "typische" von "ungewöhnlichen" Zugriffsmustern zu identifizieren
Job-Verfolgung	Rollenanalyse läuft als Hintergrund-Job und ermöglicht Überwachung von Fortschritt und Ergebnissen

Tastenkürzel

Tastenkürzel	Aktion
/	Suchfeld fokussieren
Escape	Offene Panels oder Dialoge schließen

---

Standard-Systemrichtlinien

Hydden.Control enthält eine Standard-Systemrichtlinie:

Standard-Eigentümerkonto-Genehmigung

• Typ: Eigentümerkonto-Genehmigung
• Priorität: 100 (höchste)
• Auto-Genehmigung: Aktiviert
• Bedingung: Eigentümerstatus ist "aktiv"
• Verhalten: Genehmigt automatisch Konten im Besitz aktiver Benutzer

Diese Richtlinie stellt sicher, dass Konten mit aktiven, vertrauenswürdigen Eigentümern automatische Genehmigung erhalten. Sie können diese Richtlinie deaktivieren oder ändern, wenn Ihre Organisation ein anderes Verhalten erfordert.

---

Best Practices

Richtliniendesign

1. Mit hochprioritären Ablehnungen beginnen - Richtlinien erstellen, die offensichtliche Verstöße zuerst ablehnen
2. Genehmigungen nach Spezifität schichten - Spezifischere Richtlinien sollten höhere Priorität haben
3. Auto-Genehmigung sparsam verwenden - Für wirklich vertrauenswürdige Szenarien reservieren
4. Richtlinien dokumentieren - Klare Namen und Beschreibungen verwenden
5. Vor Aktivierung testen - Entwurfsstatus verwenden, um Richtlinienlogik zu testen

Richtlinienverwaltung

1. Regelmäßig überprüfen - Richtlinien periodisch prüfen, um sicherzustellen, dass sie angemessen bleiben
2. Versionskontrolle - Richtlinienänderungen und ihre Gründe nachverfolgen
3. Wirksamkeit überwachen - Kampagnenergebnisse überprüfen, um zu sehen, wie Richtlinien funktionieren
4. Ungenutzte Richtlinien bereinigen - Richtlinien löschen oder archivieren, die nicht mehr benötigt werden

Häufige Muster

Zugriff beenden-Muster

Typ: Rollenbasierter Zugriff
Priorität: 100
Bedingung: account_status equals "terminated"
Aktion: Ablehnen

Manager-Vertrauensmuster

Typ: Eigentümerkonto-Genehmigung
Priorität: 80
Auto-Genehmigung: Aktiviert
Ressourcen: Manager-Rolle

Standardmitarbeiter-Zugriffsmuster

Typ: Anwendungszugriff
Priorität: 50
Bedingungen: role equals "Employee" AND application in [approved_apps]
Aktion: Genehmigen

---

Verwandte Themen

• Kampagnen - Erstellen und Verwalten von Zugriffsüberprüfungskampagnen
• Kampagnenregeln - Automatisierungsregeln für Kampagnen erstellen
• Rollenkonfiguration - Rollen für Richtlinienzuweisung konfigurieren
• Plattformbenutzer - Benutzer verwalten, die Konten besitzen