È possibile combinare criteri di identità e criteri di identità preventivi per soddisfare i requisiti SOD (Segregation of Duties). In questo caso, i criteri di identità elaborano le violazioni SOD esistenti e i criteri di identità preventivi impediscono le nuove violazioni.
Per supportare questo Use Case, è necessario configurare un set di criteri di identità con due tipi di azioni:
Queste azioni determinano la modifica di attributi utente, membri di gruppi e ruoli, amministratori o titolari. Ad esempio, un'azione di questo tipo può rimuovere un utente da un ruolo se viene rilevata una violazione.
Queste azioni differiscono dalle azioni preventive per il fatto che non vengono applicate al momento dell'inoltro di un'attività, ma solo durante la sincronizzazione utente.
Queste azioni determinano il comportamento di CA Identity Manager quando si verifica una violazione dei criteri di identità preventivi prima dell'inoltro di un'attività. CA Identity Manager può consentire l'inoltro dell'attività, generare un avviso e attivare un processo del flusso di lavoro, oppure impedire l'inoltro dell'attività.
In tutti i casi, la violazione viene registrata nel database di verifica.
Si prenda ad esempio una società che desidera impedire che gli utenti dispongano contemporaneamente dei ruoli Amministratore delle Risorse umane e Approvatore stipendi. La società crea quindi un criterio di identità con due azioni di tipo Azione su Applica criteri:
Questa azione ha luogo quando viene eseguita la sincronizzazione degli utenti con i criteri di identità.
In questo caso, la società ha configurato la sincronizzazione utente per l'attività Modifica utente. Se un amministratore modifica un utente, CA Identity Manager valuta tutti i criteri di identità applicabili ed applica le azioni. In questo esempio, CA Identity Manager rimuove gli utenti che hanno il ruolo Amministratore delle Risorse umane e il ruolo Approvatore stipendi dal ruolo Approvatore stipendi.
Questa azione preventiva impedisce agli amministratori di assegnare questi due ruoli ad un solo utente non consentendo l'inoltro dell'attività.
Nota: quando si configura un criterio di identità con entrambi questi tipi di azione, verificare che le azioni non siano in conflitto. Ad esempio, è possibile configurare un criterio di identità che impedisca agli utenti di disporre dei ruoli di Manager e Appaltatore. In questo criterio si specificano due azioni:
Un responsabile dell'approvazione approva l'assegnazione di ruolo per i ruoli Manager e Appaltatore, ma la seconda azione rimuove l'utente dal ruolo Manager quando viene eseguita la sincronizzazione utente.
|
Copyright © 2015 CA Technologies.
Tutti i diritti riservati.
|
|