您可以将身份策略和预防性身份策略进行组合,以满足职责隔离 (SOD) 要求。 这种情况下,身份策略解决现有的 SOD 违规,预防性身份策略则防止新的违规。
要支持这种使用情况,要对身份策略集配置两种类型的操作:
这些操作会导致用户属性、组和角色成员、管理员或所有者的更改。 例如,在检测到违规时,该类型的操作可能会从角色删除用户。
这些操作不同于预防性操作,因为它们在提交任务后将不再适用。 它们仅在用户同步期适用。
这些操作决定在任务被提交之前,发生预防性身份策略违规时 CA CA Identity Manager 应执行的操作。 CA CA Identity Manager 可以允许任务提交、发出警告并触发工作流流程,或阻止任务提交。
在上述每种情况下,都会在审核数据库中记录该违规。
以一个公司为例,该公司想防止用户同时具有 HR 管理员和工资批准人角色。 该公司创建了一个具有两个“应用策略时的操作”的身份策略:
当 CA CA Identity Manager 将用户与身份策略进行同步时发生该操作。
在这里,该公司为修改用户任配置了用户同步。 当管理员修改用户时,CA CA Identity Manager 会评估所有合适的身份策略并应用操作。 在该示例中,CA CA Identity Manager 会从工资批准人角色中删除同时具有 HR 管理员角色和工资批准人角色的用户。
该预防性操作会通过不允许管理员提交该任务,来阻止管理员为一个人分配两个角色。
注意:当您配置具有上述两种操作类型的身份策略时,请确认这两种操作不冲突。 例如,您可以配置一个身份策略,来防止用户同时具有经理和临时工角色。 在策略中,您指定两个操作:
批准人批准经理和临时工角色的角色分配,但当发生用户同步时,第二个操作会将该用户从经理角色删除。
|
版权所有 © 2015 CA Technologies。
保留所有权利。
|
|