アイデンティティ ポリシー › 禁止アイデンティティ ポリシー › 禁止アイデンティティ ポリシーに関する重要な注意事項

禁止アイデンティティ ポリシーに関する重要な注意事項

禁止アイデンティティ ポリシーを実装する前に、以下に注意してください。

• 禁止アイデンティティ ポリシーは、現在のタスクで提示された変更のために発生した違反のみを防ぎます。 既存の違反の禁止は行いません。

  たとえば企業は、ユーザがユーザ マネージャおよびユーザ承認者ロールを同時に持つことを禁じる禁止アイデンティティ ポリシーを作成します。 管理者は、すでにユーザ マネージャとユーザ承認者ロールを持つユーザに、グループ マネージャ ロールを割り当てます。 CA Identity Manager が新規割り当ての成功を許したのは、この変更はポリシー違反の直接の原因ではないためです。

• 複数の禁止アイデンティティ ポリシーが一連の提示された変更に適用される場合、CA Identity Manager は拒否アクションを持つポリシーを最初に適用します。
• 禁止アイデンティティ ポリシー条件で動的グループを特定しないでください （ポリシー条件は、禁止アイデンティティ ポリシーが適用される一連のユーザを決定します）。

  たとえば、企業に、マネージャの役職を持つすべてのユーザを含む動的グループがあります。 この企業は、マネージャ グループのメンバが契約社員ロールを持つことを禁止する禁止アイデンティティ ポリシーも作成します。

  管理者は契約社員ロールを持つユーザの役職を、マネージャに変更します。 この変更により、タスクのサブミットが成功した後に、ユーザはマネージャ グループのメンバとなります。 ただし、ユーザの役職は CA Identity Manager によるポリシーの評価時点ではマネージャではないため、違反は検出されません。

• ロール所有者フィルタおよび LDAP クエリ フィルタは、禁止アイデンティティ ポリシー用のポリシー条件内ではサポートされていません。