Provisionierung

Die Provisionierung ermöglicht die automatisierte Kontolebenszyklus-Verwaltung durch Verbindung von Hydden.Control mit externen Identitäts- und Ticketing-Systemen. Wenn Zugriffsprüfungsentscheidungen getroffen werden oder Datenänderungen auftreten, können Provisionierungsregeln automatisch Tickets erstellen, Konten bereitstellen, Gruppenmitgliedschaften ändern oder den Zugriff in verbundenen Systemen deaktivieren.

Übersicht

Die Provisionierung besteht aus drei Komponenten:

Komponente	Zweck
Externe Systeme	Verbindungen zu Identitätsanbietern (Entra ID) oder Ticketing-Systemen (Jira, Zendesk)
Provisionierungsregeln	Definieren, welche Datenänderungen welche Aktionen auslösen
Provisionierungsaktionen	Einzelne Operationen, die zur Ausführung in die Warteschlange gestellt werden

Unterstützte externe Systeme

System	Kategorie	Unterstützte Aktionen
Microsoft Entra ID	Identitätsverwaltung	Konto erstellen, Konto ändern, Konto deaktivieren/aktivieren, Gruppenmitgliedschaft hinzufügen/entfernen
Jira	Ticketing	Ticket erstellen, Ticket aktualisieren, Ticket-Übergang, Kommentar hinzufügen
Zendesk	Ticketing	Ticket erstellen, Ticket aktualisieren, Kommentar hinzufügen
Salesforce	Identitätsverwaltung	Konto erstellen, Konto ändern, Konto deaktivieren

---

Externe Systeme konfigurieren

Externe Systeme definieren Verbindungen zu Zielplattformen, auf denen Provisionierungsaktionen ausgeführt werden.

Voraussetzungen

Bevor Sie ein externes System konfigurieren:

1. Identitätsverwaltungssysteme (Entra ID, Salesforce):

   • Registrieren Sie eine Anwendung mit entsprechenden API-Berechtigungen
   • Beschaffen Sie Client-Anmeldeinformationen (Client-ID und Geheimnis)
   • Konfigurieren Sie den SCIM-Endpunktzugriff, falls zutreffend

2. Ticketing-Systeme (Jira, Zendesk):

   • Erstellen Sie ein API-Token oder Dienstkonto
   • Identifizieren Sie Projektschlüssel oder Ticket-Kategorien

Externes System hinzufügen

1. Navigieren Sie zu Einstellungen > Provisionierung.

2. Klicken Sie auf + Externes System hinzufügen.

3. Wählen Sie den Systemtyp (Entra, Jira, Zendesk oder Salesforce).

4. Wählen Sie die Kategorie:

   • Identitätsverwaltung: Für Kontolebenszyklus-Operationen
   • Ticketing: Für das Erstellen und Verwalten von Tickets

5. Geben Sie die erforderliche Konfiguration ein:

   Feld	Beschreibung
   Name	Beschreibender Name für diese Verbindung
   Beschreibung	Optionale Notizen zum Zweck des Systems
   Basis-URL	API-Endpunkt-URL für das externe System
   Anmeldeinformationen	Verweis auf gespeicherte Anmeldeinformationen im sicheren Tresor

6. Konfigurieren Sie Connector-Einstellungen spezifisch für den Systemtyp.

7. Klicken Sie auf Verbindung testen, um die Konfiguration zu überprüfen.

8. Klicken Sie auf Speichern, um das externe System zu erstellen.

Entra ID-Konfiguration

Für Microsoft Entra ID-Verbindungen:

Einstellung	Beschreibung
Mandanten-ID	Ihre Azure AD-Mandantenkennung
SCIM-Endpunkt	Optionaler benutzerdefinierter SCIM-Endpunkt (Standard ist Microsoft Graph)

Erforderliche Azure AD API-Berechtigungen:

User.ReadWrite.All          Benutzer erstellen und ändern
Group.ReadWrite.All         Gruppenmitgliedschaften ändern
Directory.ReadWrite.All     Vollständiger Verzeichniszugriff

Jira-Konfiguration

Für Jira-Verbindungen:

Einstellung	Beschreibung
Projektschlüssel	Standard-Jira-Projekt für neue Tickets
Vorgangstyp	Standard-Vorgangstyp (Task, Story, Bug usw.)
Benutzerdefinierte Felder	Hydden-Daten zu Jira-benutzerdefinierten Feldern zuordnen

Zendesk-Konfiguration

Für Zendesk-Verbindungen:

Einstellung	Beschreibung
Subdomain	Ihre Zendesk-Subdomain
Gruppen-ID	Standard-Ticket-Gruppenzuweisung
Priorität	Standard-Ticket-Priorität

---

Provisionierungsregeln

Provisionierungsregeln definieren automatisierte Reaktionen auf Datenänderungen. Wenn ein Auslöser-Ereignis eintritt und mit dem Filter der Regel übereinstimmt, wird die angegebene Aktion zur Ausführung in die Warteschlange gestellt.

Auslöser-Ereignisse

Regeln können auf diese Datenänderungsereignisse reagieren:

Kategorie	Ereignis	Beschreibung
Kontolebenszyklus	account_created	Neues Konto bei der Synchronisierung entdeckt
	account_updated	Kontoattribute geändert
	account_deleted	Konto aus Quelle entfernt
Gruppenmitgliedschaft	group_member_added	Benutzer zu einer Gruppe hinzugefügt
	group_member_removed	Benutzer aus einer Gruppe entfernt
Rollenzuweisung	role_assigned	Rolle einem Konto zugewiesen
	role_revoked	Rolle von einem Konto entfernt
Ticket-Lebenszyklus	ticket_resolved	Verknüpftes Ticket als gelöst markiert
	ticket_approved	Verknüpftes Ticket genehmigt
	ticket_rejected	Verknüpftes Ticket abgelehnt

Provisionierungsregel erstellen

1. Navigieren Sie zu Einstellungen > Provisionierung > Regeln.

2. Klicken Sie auf + Regel hinzufügen.

3. Geben Sie Regeldetails ein:

   Feld	Beschreibung
   Name	Beschreibender Regelname
   Beschreibung	Erklären Sie den Zweck der Regel
   Externes System	Zielsystem für Aktionen
   Auslöser-Ereignis	Datenänderung, die diese Regel aktiviert
   Aktiv	Regel aktivieren oder deaktivieren

4. Konfigurieren Sie den Auslöser-Filter (optional), um einzuschränken, welche Entitäten übereinstimmen:

   {
     "account_type": "human",
     "department": "Engineering"
   }

5. Wählen Sie den Aktionstyp, der bei Auslösung ausgeführt werden soll.

6. Konfigurieren Sie Aktionsparameter spezifisch für den Aktionstyp.

7. Für Kontoerstellungsaktionen konfigurieren Sie die Anmeldeinformationen-Zustellung:

   Methode	Beschreibung
   E-Mail	Temporäres Passwort per E-Mail senden
   In-App	In Hydden.Control-Benachrichtigung anzeigen
   Beides	Per E-Mail und In-App senden
   SSPR	Self-Service-Passwort-Reset-Link

8. Legen Sie die Anmeldeinformationen-TTL (Gültigkeitsdauer) für temporäre Passwörter fest.

9. Klicken Sie auf Speichern, um die Regel zu erstellen.

Regelbeispiele

Automatisch Entra-Konto erstellen, wenn Rolle zugewiesen:

Auslöser-Ereignis: role_assigned
Filter: { "role_name": "employee" }
Aktion: create_account
System: Entra ID Production
Anmeldeinformationen-Zustellung: Email
Anmeldeinformationen-TTL: 24 hours

Jira-Ticket für Zugriffsprüfungs-Ablehnung erstellen:

Auslöser-Ereignis: ticket_rejected
Filter: { "campaign_type": "application_review" }
Aktion: create_ticket
System: Jira IT Service Desk
Aktionsparameter: {
  "project": "ITSD",
  "issue_type": "Task",
  "summary": "Access removal required: {{account.display_name}}",
  "description": "Access rejected in campaign {{campaign.name}}"
}

---

Provisionierungsaktionen

Provisionierungsaktionen sind einzelne Operationen, die durch Regeln erstellt oder manuell ausgelöst werden. Jede Aktion durchläuft einen definierten Status-Workflow.

Aktionsstatus-Workflow

Diagrammbeschreibung: Ein Links-nach-rechts-Flussdiagramm, das den Statusworkflow von Provisionierungsaktionen zeigt. Eine Aktion beginnt als Ausstehend, wechselt zu Wird ausgeführt, und von dort kann sie Abgeschlossen, Fehlgeschlagen oder zurück zu Ausstehend (Wiederholung) werden. Sowohl der Status Ausstehend als auch Wird ausgeführt können zu Abgebrochen wechseln.

Status	Beschreibung
Ausstehend	Zur Ausführung in der Warteschlange
Wird ausgeführt	Wird derzeit verarbeitet
Abgeschlossen	Erfolgreich ausgeführt
Fehlgeschlagen	Ausführung fehlgeschlagen (kann erneut versucht werden)
Abgebrochen	Manuell abgebrochen

Aktionen überwachen

1. Navigieren Sie zu Einstellungen > Provisionierung > Aktionen.

2. Verwenden Sie Filter, um bestimmte Aktionen zu finden:

   • Status: Ausstehend, Wird ausgeführt, Abgeschlossen, Fehlgeschlagen, Abgebrochen
   • Externes System: Nach Zielsystem filtern
   • Aktionstyp: Nach Operationstyp filtern
   • Zielentität: Nach Konto- oder Entitäts-ID suchen

3. Klicken Sie auf eine Aktion, um Details anzuzeigen:

   • Zielentitäts-Informationen
   • Aktionsparameter
   • Ausführungsversuche und Zeitstempel
   • Fehlermeldungen (für fehlgeschlagene Aktionen)
   • Ergebnisdaten (für abgeschlossene Aktionen)

Fehlgeschlagene Aktionen erneut versuchen

Fehlgeschlagene Aktionen können erneut versucht werden:

1. Wählen Sie die fehlgeschlagene Aktion aus.
2. Überprüfen Sie die Fehlermeldung.
3. Klicken Sie auf Erneut versuchen, um die Aktion erneut in die Warteschlange zu stellen.
4. Die Aktion kehrt zum Status Ausstehend zurück mit erhöhter Versuchszählung.

---

Temporäre Anmeldeinformationen

Wenn die Provisionierung neue Konten mit temporären Passwörtern erstellt, werden die Anmeldeinformationen sicher gespeichert und gemäß der Regelkonfiguration zugestellt.

Zustellungsmethoden für Anmeldeinformationen

Methode	Funktionsweise
E-Mail	Verschlüsselte E-Mail wird an den Kontoinhaber oder bestimmten Empfänger gesendet
In-App	Benachrichtigung erscheint in Hydden.Control mit sicherer Anzeige
Beides	E-Mail und In-App-Benachrichtigung
SSPR	Self-Service-Passwort-Reset-Link (kein temporäres Passwort)

Lebenszyklus der Anmeldeinformationen

1. Erstellt: Anmeldeinformationen werden während der Kontobereitstellung generiert
2. Zugestellt: Über konfigurierte Zustellungsmethode gesendet
3. Abgerufen: Benutzer greift auf die Anmeldeinformationen zu (nur In-App)
4. Abgelaufen: TTL abgelaufen, Anmeldeinformationen nicht mehr zugänglich

Temporäre Anmeldeinformationen anzeigen

Für In-App-Zustellung:

1. Navigieren Sie zu Benachrichtigungen (Glockensymbol).
2. Finden Sie die Anmeldeinformationen-Benachrichtigung.
3. Klicken Sie auf Anmeldeinformationen anzeigen, um sie zu sehen.
4. Die Anmeldeinformationen werden als abgerufen markiert.

WARNING

Temporäre Anmeldeinformationen werden im Ruhezustand verschlüsselt und nur während der Zustellung oder des Abrufs entschlüsselt. Nach Ablauf der TTL können Anmeldeinformationen nicht wiederhergestellt werden.

---

Sicherheitsüberlegungen

Speicherung von Anmeldeinformationen

• Anmeldeinformationen für externe Systeme werden in Azure Key Vault oder einem konfigurierten Geheimnisspeicher gespeichert
• Anmeldeinformationen werden niemals protokolliert oder in API-Antworten offengelegt
• Der Zugriff auf Provisionierungseinstellungen erfordert die Administratorrolle

Prüfprotokoll

Alle Provisionierungsoperationen werden protokolliert:

• Regelerstellung, -änderung und -löschung
• Aktionsausführungsversuche und Ergebnisse
• Ereignisse zur Generierung und zum Abruf von Anmeldeinformationen

Zeigen Sie Provisionierungs-Audit-Ereignisse unter Einstellungen > Audit-Protokoll mit Filter category:provisioning an.

Ratenbegrenzung

Connectors implementieren Ratenbegrenzung, um externe Systemkontingente zu respektieren:

• HTTP 429-Antworten lösen automatisches Backoff aus
• Wiederholungsintervalle sind pro externem System konfigurierbar
• Massenoperationen werden gestapelt, um Drosselung zu verhindern

---

Fehlerbehebung

Häufige Probleme

Problem	Ursache	Lösung
Aktionen bleiben in Ausstehend stecken	Worker verarbeitet nicht	Job-Historie auf Worker-Status prüfen
Authentifizierungsfehler	Abgelaufene oder ungültige Anmeldeinformationen	Anmeldeinformationen in externer Systemkonfiguration aktualisieren
SCIM-Fehler	Berechtigungs- oder Schema-Nichtübereinstimmung	API-Berechtigungen und Attributzuordnungen überprüfen
Fehlende Auslöser-Ereignisse	Regelfilter zu restriktiv	Filterbedingungen überprüfen

Regeln testen

Bevor Sie Regeln in der Produktion aktivieren:

1. Erstellen Sie die Regel mit Aktiv auf false gesetzt.
2. Verwenden Sie Regel testen, um eine Vorschau zu sehen, welche Entitäten übereinstimmen würden.
3. Überprüfen Sie die Aktion, die generiert werden würde.
4. Aktivieren Sie die Regel, wenn Sie mit der Vorschau zufrieden sind.

---

Verwandte Themen

• Datensynchronisation - Daten synchronisieren, die Provisionierungsereignisse auslösen
• Kampagnenregeln - Regeln für die Zugriffsprüfungs-Automatisierung erstellen
• Job-Historie - Ausführung von Provisionierungsjobs überwachen
• Audit-Protokoll - Provisionierungs-Prüfprotokoll anzeigen