FAQ zum Identity Manager für IT-Verantwortliche

FAQs = Frequently asked Questions

Identity Account für neue Mitarbeitende fehlt

F: Für eine neue Mitarbeitende am Institut fehlt das ITIM-Konto, obwohl die Person bereits am Institut arbeitet. Weshalb?

A: Bei einer ordentlichen Anstellung wird in der Regel 10 Tage vor dem ersten Arbeitstag ein Automatismus ausgelöst, welcher in der Folge die Person im Identity Manager erstellt und die Konten eröffnet. 9 Tage vor Arbeitsbeginn wird der persönliche Account im ITIM verfügbar.
Klären Sie im Institut ab, ob für die Person bereits eine Anstellungsverfügung ausgelöst  und diese rechtzeitig an die Personalabteilung geschickt wurde. Falls ein Account 9 Tage vor Arbeitsantritt noch nicht eröffnet ist, können die Personalverantwortlichen des Institutes bei  der Personalabteilung abklären, weshalb die Person im SAP-HR noch nicht erfasst ist. Dies kann via E-Mail an sap-hr@pa.uzh.ch erfolgen.

Soll die neue Person per sofort erfasst werden, kann die Personalabteilung mitteilen, mit welchen Attributen (Name, Vorname, Geburtsdatum, Geschlecht) die Person im SAP erfasst wird und Sie als IT-Verantwortlicher können mit genau diesen Attributen in dringenden Ausnahmefällen die Person manuell im Identity Manager eröffnen. Sobald die Person durch den Automatismus ihren Account erhält, wird auf diese Weise der manuell eröffnete Account erkannt und so verhindert, dass die selbe Person zwei Mal aufgenommen wird.

Neuer Mitarbeiter im Institut mit ITIM-Account

F: neuer Mitarbeiter im Institut. Dieser ist im ITIM vorhanden und sollte eine Institutsadresse (als Empfangsadresse und als Internet-Mailadresse) bekommen.

A: Der Mitarbeiter wird ins Institut "übernommen": Institutsrolle hinzufügen.

Institutswechsel

F: Ein Mitarbeiter wechselt das Insitut, möchte aber die bisherige Emailadresse bis auf weiteres behalten. Wie kann man das machen?

A: Wechselt eine Person ein Institut und möchte die bisherige E-Mail
 Adresse weiter behalten, darf der "bisherige" Manager die Rolle
 nicht entfernen. Durch Vergabe der neuen Institutsrolle durch den Koordinator des neuen Instituts wird dieser gleichzeitg neuer Manger dieser Person und kann ihr somit eine neue Absenderadresse bestimmen. Die alte Adresse wird zum Alias, resp. wandert in die Short List.

Institutsemailadresse hinzufügen

F: Welche Institutsemailadresse kann man hinzufügen?

A: Verfügt ein Institutsmitglied lediglich über die Institutsrolle, nicht aber über eine Institutsemail @inst.uzh.ch, kann der IT-Koordinator diese nachträglich hinzufügen. Im Mail-Register des "UZH Lotus"-Dienstes, unter dem Punkt Internetadresse, werden zwei Felder angezeigt: "Current Address" und "New Address", wobei unter "New Address" man zwischen zwei Optionen auswählen kann, der @inst.uzh.ch- und einer Alias-Emailadresse. Wurde die Institutsemaildresse einmal zugewiesen, verschwindet die Optionsauswahl und man kann nur noch aus den Alias-Adressen auswählen.

Institutsemailadresse wechseln bei Zugehörigkeit zu zwei Instituten

F: Ein Mitarbeiter hat zwei Organisationsrollen und möchte seine Absenderadresse wechseln.

A: Der IT-Verantwortliche, der als IT Manager eingetragen ist, kann die bisherige Institutsemailadresse mit Einverständnis des Benützers durch die neue Institutsemailadresse, falls sie in der Shortlist vorhanden ist, als Internetadresse (Absenderadresse) im ITIM (Lotus Dienst) ersetzen. Die bisherige Institutsemailadresse wandert automatisch in die Shortlist.

Institutsemailadresse eines MailIns wechseln

F: Kann man die Institutsemailadresse (Domain) eines MailIns wechseln?

A: Nein. Alles was vor dem ...@inst.uzh.ch steht, darf der IT-Verantwortliche in ITIM ändern. Alles nach dem @... nicht. Ein Mailin darf nur über eine Emailadresse, die Institutsemailadresse, verfügen. Sie können und dürfen nicht einfach die Institutsrolle löschen, um die Institutsemailadresse durch eine @uzh.ch-Adresse zu ersetzen. Das ist nicht erlaubt und funktioniert nicht.

Wurde einem Mailin eine Emailadresse einmal vergeben, können Sie sie nachträglich nicht mehr ändern. Auch nicht, indem Sie dem Funktionskonto den Lotus-Dienst entziehen, neu hinzufügen und die neue Emailadresse vergeben. Die neue Emailadresse würde zwar von ITIM akzeptiert, nicht jedoch der Name der bereits bestehenden MailIn-Mailbox ("Error: File already exists"). Sie müssten folglich ein komplett neues MailIn erzeugen.

Wechsel IT-Manager

F: Wie wird der IT Manager im Identity Management gewechselt?

A: a.) Wenn eine Person in ein neues Institut aufgenommen wird (Institutsrolle vergeben), wird im Identity Management der Koordinator des neuen Institutes auch gleichzeitig IT Manager. So ist dieser sofort in der Lage, der Person eine Institutsemailadresse zu geben.

b.) Entzieht ein IT Manager einer Person die Institutsrolle, wird automatisch der Koordinator des anderen Instituts Manager, sofern die Person über zwei Institutsrollen verfügte.

Institutsrolle hinzufügen mit Beibehaltung des bestehenden IT-Managers

F: Wie kann man einem Benützer eine neue Institutsrolle vergeben, ohne seinen bestehenden IT-Manger zu ändern?

A: Angenommen, ein Benützer verfügt als IT-Manager den "Koordinator A", die Institutsrolle I_S_A und die Institutsemailadresse xy@a.uzh.ch. Wünschen Sie diesem Benützer lediglich eine neue Institutsrolle I_S_B zu vergeben,...

  • melden Sie sich im ITIM als "Koordinator B" an und fügen ihm die neue Rolle I_S_B hinzu (sein Manager wechselt automatisch von "Koordinator A" nach "Koordinator B").
  • Melden Sie sich im ITIM als "Koordinator A" an und entziehen ihm die alte Rolle I_S_A. Danach fügen Sie sie ihm wieder hinzu. Folglich ändert sein IT-Manager automatisch nach "Koordinator A". (Würden Sie ihm lediglich die alte Rolle I_S_A wiederholt hinzufügen, würde "Koordinator B" als sein Manager unverändert weiterbestehen, denn über die Rolle I_S_A verfügt er bereits.)
  • Vergeben Sie ihm die alte Institutsemailadresse xy@a.uzh.ch. (Nach dem Entfernen einer Institutsrolle wird die Institutsemailadresse entfernt und für ein Jahr gesperrt, aber nur für andere Personen. Für ein und diesselbe Person können Sie sie ihm beliebig oft neu vergeben.)

Benutzer deaktivieren/löschen

F: Ein ehemaliger Mitarbeiter soll nicht mehr auf einer ehemaligen Institutsadresse Mails empfangen dürfen. Wie bewerkstellige ich das?
a) Er/Sie arbeitet neu an einem anderen Ort an der UZH
b) Er/Sie hat die UZH verlassen

a) Institutsrolle entfernen

b) Im ITIM ist es nicht möglich Personen zu löschen, dies können auch Administratoren nicht. Für manuell erstellte Personen kann der Life Cycle Prozess ausgelöst werden, indem die Person aus der manuellen an die automatische Verwaltung übergeben wird. Um den Vorgang zu beschleunigen, kann das Ablaufdatum ein Jahr in die Vergangenheit zurückverlegt werden. Benutzer löschen.

Externer Mitarbeiter im Institut

F: Ein externer Mitarbeiter des Institutes (weder angestellt noch immatrikuliert) sollte folgendes machen können: VPN-Validierung, UZH-Lotus, ITIM-Userobjekt, Inst. E-Mailadresse. Das heisst, gleiche Funktionen wie ein "normaler" Mitarbeiter, der aber nicht automatisch durch das SAP der Personaladministration in den Identity Manager eingespiesen wird.

A: Siehe Benutzer erstellen.

Die Zentrale Informatik verlangt von externen Mitarbeitenden, welche physisch oder via Fernzugriff an Systemen der UZH arbeiten oder Zugriff auf nicht öffentliche Firmendaten oder -dokumente haben, die Unterzeichnung von Datenschutz- und Nutzungsbestimmungen. Beachten Sie die Hinweise des Datenschutzdelegierten der UZH. Sie finden dort die Datenschutzerklärung.

Absenderadresse ändern durch IT-Verantwortlichen

F: Wie kann ich meine Absenderadresse (FROM-Adresse) ändern?

A: Die Absenderadresse kann nur durch den IT-Verantwortlichen geändert werden:

  1. Login im ITIM mit https://www.identity.uzh.ch/itim/console/main
  2. „Benutzer verwalten“ anklicken
  3. Benutzer suchen
  4. Auf das kleine Dreieck beim gesuchten User klicken
  5. „Accounts“ wählen
  6. Nochmals Suchen-Knopf drücken
  7. Lotus-User wählen
  8. Menu E-Mail
  9. Nach Klick auf „Details“ sehen Sie die aktuelle Absenderadresse.
  10. Jetzt kann eine andere Mail-Adresse ausgewählt werden, z.B. die neue Adresse @uzh.ch
  11. Fenster wieder schliessen

das kleine Dreieck anklicken (Punkt 4) (JPG, 153 KB)

Achtung: Es können nur Adressen ausgewählt werden mit @uzh.ch oder @inst.uzh.ch, wobei das Institut ausschliesslich dasjenige des IT-Verantwortlichen sein kann.

Ausserordentlicher UniAccess Account

F:Kann ich einem Mitarbeiter der einen Lotus Account hat auch noch einen UniAccess Account eröffnen?

A: Dies ist nicht mehr notwendig. Uni-Access wurde am 8. November 2011 durch den ITIM-Service AAI abgelöst. Siehe unter Uni Access

Gruppen und Ressourcen (Räume)

F:Wo kann der IT-Verantwortliche Gruppen und Ressourcen einrichten und verwalten?

A: Das wird nicht im Identity Manager gemacht, sondern direkt im Notes Client. Siehe FAQ Admin (Abschnitt Gruppen, Ressourcen, Reservationen). Man spricht in diesem Zusammenhang auch von UZH Applikationen. Die Applikation „UZH Management“ ist das zentrale Werkzeug für Koordinatoren, um Gruppen und Ressourcen zu erstellen und verwalten.

Kein Mailempfang nach Namensänderung

F: Nachdem ich im Identity Manager meine Namensänderung akzeptiert habe, kann ich keine Mail mehr empfangen.

A: Nach einer Namensänderung muss auch das Lotus-Passwort neu gesetzt werden. Siehe Passwort ändern.

Ehemaliger Mitarbeiter oder Student kommt wieder zurück an die UZH

F: Wie ist das Vorgehen bei ehemaligen Mitarbeitern oder Studenten die wieder an die UZH zurückkommen??

A: 1. Suchen Sie die Person im ITIM
2. Geben Sie Ihr die gewünschte Institutsrolle.
3. Die Person muss in der Beratung das ITIM Passwort zurücksetzen lassen, falls dieses nicht mehr bekannt ist
4. Benutzer loggt im ITIM ein und bestätigt die Rolle.
5. Sie können die Instituts E-Mail Adresse bei Bedarf eröffnen.

Automatisch oder Manuell verwaltete Personen

F: Unterschied zwischen automatisch und manuell?

A: Automatisch verwaltete Personen sind solche, die im SAP eingetragen sind; manuell verwaltete solche, die nicht im SAP eingetragen, sondern durch ein Institut legitimiert sind. Das Life Cycle Management betrifft die automatisch verwalteten Personen.

Wie lange hat der IT-Manager Zeit einen Benutzer zu verlängern?

F: Wenn ein Benutzer gesperrt ("Inaktiv") wurde, wie lange hat dann ein IT-Manager Zeit diese Person wieder zu verlängern?

A:14 Tage ab erhalt der E-Mail.

Suspendiert: Wie kann eine Person wieder freigegeben werden?

F: Suspendiert: Wie kann eine Person wieder freigegeben werden?

A: Ohne IT-Manager die Helpline (044 634 33 33), mit IT-Manager nur der IT-Manager. Ob der Benutzer einen IT-Manager hat, finden Sie hier.

Ein Account im ITIM wird bei einem User als nicht konform angezeigt

F: Im ITIM-Konto eines Users meines Instituts wird mir der Dienst UZH LOTUS als nicht konform angezeigt, was verhindert, dass ich seine Default-EMail-Adresse ändern kann. Wie lässt sich dies beheben?

A: Ersichtlich ist die Nicht-Konformität eines Accounts am gelben Dreieck in der Status-Anzeige der Account-Liste. (Wird auf das Dreieck geklickt, erscheint eine Liste mit den Details der Nicht konformen Accountattribute mit Attribut, Nicht konformer Wert, Vorgeschlagener Wert.)

Der IT Manager kann die Konformität aller Accounts der Person erzwingen, indem er auf das Personenformular geht und dieses ohne Änderung submittet. Damit wird die Konformität aller Accounts der Person geprüft und wo nötig erzwungen.

Warum sind nicht alle Accounts inaktiv bei einem inaktiven Personenobjekt, bzw. sind diese aktiven Dienste dann trotzdem noch nutzbar?

F: Warum sind nicht alle Accounts inaktiv bei einem inaktiven Personenobjekt, bzw. sind diese aktiven Dienste dann trotzdem noch nutzbar?

A: Nein; da die Person inaktiv ist (also „suspended“) kann auch keiner der Accounts benutzt werden. Gewisse Accounts werden „inaktiviert“, indem das Passwort überschrieben wird. Diese Accounts erscheinen dann noch als aktiv.