Identitätsrichtlinien › Kombinieren von Identitätsrichtlinien und präventiven Identitätsrichtlinien

Kombinieren von Identitätsrichtlinien und präventiven Identitätsrichtlinien

Sie können Identitätsrichtlinien und präventive Identitätsrichtlinien kombinieren, um die Anforderungen hinsichtlich der Trennung von Pflichten (Segregation of Duties, SoD) zu erfüllen. In diesem Fall werden Identitätsrichtlinien in Bezug auf bestehende SoD-Verletzungen verwendet, und präventive Identitätsrichtlinien verhindern neue Verletzungen.

Konfigurieren Sie zur Unterstützung dieses Anwendungsfalls einen Identitätsrichtliniensatz mit zwei Typen von Aktionen:

• Aktionen, die während der Benutzersynchronisierung auftreten

  Diese Aktionen führen zu Änderungen an Benutzerattributen, Gruppen- und Rollenmitgliedern, Administratoren oder Eigentümern. Beispielsweise kann eine Aktion dieses Typs einen Benutzer aus einer Rolle entfernen, wenn eine Verletzung erkannt wird.

  Diese Aktionen unterscheiden sich in der Hinsicht von präventiven Aktionen, dass sie nicht beim Senden einer Aufgabe angewendet werden. Sie werden nur während der Benutzersynchronisierung angewendet.

• Präventive Aktionen

  Diese Aktionen legen fest, wie CA Identity Manager auf das Auftreten einer Verletzung einer präventiven Identitätsrichtlinie vor dem Senden einer Aufgabe reagiert. CA Identity Manager kann zulassen, dass die Aufgabe gesendet wird, eine Warnung ausgeben und einen Workflow-Prozess auslösen oder das Senden der Aufgabe verhindern.

  In jedem dieser Fälle wird die Verletzung in der Audit-Datenbank aufgezeichnet.

Stellen Sie sich vor, dass ein Unternehmen verhindern möchte, dass Benutzer gleichzeitig die Rollen "Personalleiter" und "Gehaltsgenehmiger" besitzen. Dieses Unternehmen erstellt eine Identitätsrichtlinie mit zwei "Aktion zu Richtlinie anwenden"-Aktionen:

• Entfernen des Benutzers aus der Rolle "Gehaltsgenehmiger"

  Diese Aktion wird ausgeführt, wenn CA Identity Manager Benutzer mit Identitätsrichtlinien synchronisiert.

  In diesem Fall hat das Unternehmen die Benutzersynchronisierung für die Aufgabe "Benutzer ändern" konfiguriert. Wenn ein Administrator einen Benutzer ändert, wertet CA Identity Manager alle anwendbaren Identitätsrichtlinien aus und wendet die Aktionen an. In diesem Beispiel entfernt CA Identity Manager Benutzer, die die Rollen "Personalleiter" und "Gehaltsgenehmiger" besitzen, aus der Rolle "Gehaltsgenehmiger".

• Ablehnen der Aufgabe

  Diese präventive Aktion verhindert, dass Administratoren einer Person diese beiden Rollen zuweisen, indem sie nicht zulässt, dass der Administrator die Aufgabe sendet.

Hinweis: Wenn Sie eine Identitätsrichtlinie mit diesen beiden Aktionstypen konfigurieren, stellen Sie sicher, dass die Aktionen nicht miteinander in Konflikt stehen. Beispielsweise können Sie eine Identitätsrichtlinie konfigurieren, die verhindert, dass Benutzer die Rollen "Manager" und "Auftragnehmer" besitzen. In der Richtlinie geben Sie zwei Aktionen an:

• Eine Warnung, die einen Workflow-Prozess auslöst, der eine Genehmigung erfordert, bevor die Rollen zugewiesen werden, und
• Eine Aktion, die einen Benutzer aus der Rolle "Manager" entfernt

Ein Genehmiger genehmigt die Rollenzuweisung für die Rollen "Manager" und "Auftragnehmer", die zweite Aktion entfernt jedoch den Benutzer aus der Rolle "Manager", wenn die Benutzersynchronisierung ausgeführt wird.