Vous pouvez combiner des stratégies d'identité et des stratégies d'identité préventives pour satisfaire aux besoins de séparation des fonctions. Dans ce cas, les stratégies d'identité corrigent les violations de séparation des fonctions existantes et les stratégies d'identité préventives en empêchent de nouvelles.
Pour prendre en charge ce cas d'utilisation, vous configurez un ensemble de stratégies d'identité avec les deux types d'actions suivants.
Ces actions donnent lieu à des changements des attributs d'utilisateur, des membres de groupe et de rôle, des administrateurs ou des propriétaires. Par exemple, une action de ce type peut supprimer un utilisateur d'un rôle en cas de détection d'une violation.
Ces actions diffèrent des préventives dans le sens où elles ne sont pas appliquées lors de la soumission d'une tâche, mais uniquement pendant la synchronisation des utilisateurs.
Ces actions déterminent le comportement de CA Identity Manager en cas de violation d'une stratégie d'identité préventive avant la soumission d'une tâche. CA Identity Manager peut autoriser la soumission de la tâche, l'empêcher ou émettre un avertissement et déclencher un processus de flux de travaux.
Dans chacun de ces cas, la violation est enregistrée dans la base de données d'audit.
Imaginez une société qui souhaite empêcher que des utilisateurs endossent simultanément les rôles Administrateur RH et Approbateur de salaire. Cette société crée une stratégie d'identité avec deux actions lors de l'application de la stratégie.
Cette action se produit lorsque CA Identity Manager synchronise les utilisateurs avec des stratégies d'identité.
Dans ce cas, la société a configuré la synchronisation des utilisateurs pour la tâche Modifier un utilisateur. Lorsqu'un administrateur modifie un utilisateur, CA Identity Manager évalue toutes les stratégies d'identité pertinentes et applique les actions. Dans cet exemple, CA Identity Manager supprime du rôle Approbateur de salaire les utilisateurs cumulant ce rôle avec celui d'Administrateur RH.
Cette action préventive empêche les administrateurs d'affecter ces deux rôles à une même personne en interdisant à l'administrateur de soumettre la tâche.
Remarque : Lorsque vous configurez une stratégie d'identité avec ces deux types d'action, vérifiez que les actions ne soient pas en conflit. Par exemple, vous pouvez configurer une stratégie d'identité qui empêche les utilisateurs de cumuler les rôles Gestionnaire et Sous-traitant. Dans la stratégie, vous spécifiez deux actions.
Un approbateur approuve l'affectation des rôles Gestionnaire et Sous-traitant, mais la seconde action supprime l'utilisateur du rôle Gestionnaire lors de la synchronisation des utilisateurs.
|
Copyright © 2014 CA.
Tous droits réservés.
|
|