アイデンティティ ポリシー › アイデンティティ ポリシー

アイデンティティ ポリシー

アイデンティティ ポリシーとは、ユーザが特定の条件やルールを満たした場合に発生する一連の業務変更です。 アイデンティティ ポリシー セットを使用して以下の処理を実行できます。

• ロールやグループ メンバシップの割り当て、リソースの割り当て、ユーザ プロファイル属性の変更といった、特定のアイデンティティ管理タスクを自動化する。
• 職務分掌を適用する。 たとえば、アイデンティティ ポリシー セットを作成し、Check Signer ロールのメンバが Check Approver ロールを所有することを禁止して社内の人間が $10,000 を超える小切手を書くことを制限することができます。
• コンプライアンスを適用する。 たとえば、特定の役職に就いており給与が $100,000 を超えるユーザを監査できます。

  コンプライアンスを適用するアイデンティティ ポリシーは、コンプライアンス ポリシーと呼ばれます。

アイデンティティ ポリシーに関連付けられる業務変更には以下のものがあります。

• プロビジョニング ロールをはじめとするロールの割り当てまたは取り消し（プロビジョニング ディレクトリのみを使用している場合）
• グループ メンバシップの割り当てまたは取り消し
• ユーザ プロファイルの属性の更新

たとえば、ある企業では、副社長は全員カントリー クラブ メンバー グループに所属しており、給与承認者ロールを所有していることを記述するアイデンティティ ポリシーを作成する場合があります。 ユーザの役職が副社長に変わり、そのユーザがアイデンティティ ポリシーに同期されると、CA Identity Manager は、そのユーザを適切なグループおよびロールに追加します。 副社長が CEO に昇進すると、副社長アイデンティティ ポリシーの条件を満たさなくなります。よって、このポリシーで適用されていた変更は取り消され、CEO ポリシーに基づいた新しい変更が適用されます。

アイデンティティ ポリシーに基づいて発生するこの変更アクションには、ワークフロー制御下に置かれて監査されるイベントが含まれます。 前の例では、給与承認者ロールによって、所属するメンバに重要な権限が付与されます。 給与承認者ロールを保護するために、企業は、ロールの割り当て前に一連の承認を必要とするワークフロー プロセスを作成し、さらにロールの割り当てを監査するように CA Identity Manager を設定できます。

アイデンティティ ポリシー管理を簡略化するため、アイデンティティ ポリシーはアイデンティティ ポリシー セットとしてグループ化されています。 たとえば、副社長ポリシーと CEO ポリシーを、幹部権限アイデンティティ ポリシー セットの一部とすることができます。

注: CA Identity Manager には「禁止アイデンティティ ポリシー」と呼ばれる追加のタイプのアイデンティティ ポリシーが含まれます。 タスクがサブミットされる前に実行されるこれらのポリシーにより、管理者は権限の割り当てやプロファイル属性の変更を行う前にポリシー違反を確認することができます。 違反がある場合、管理者はタスクをサブミットする前に違反をクリアできます。