職務分掌(SOD)要件が適用されると、利害の対立または不正の原因となる可能性のある権限は取得できなくなります。 CA Identity Manager では、SOD をサポートするため、以下の機能を提供します。
タスクがサブミットされる前に実行されるこれらのポリシーにより、管理者は権限の割り当てやプロファイル属性の変更を行う前にポリシー違反を確認することができます。 違反がある場合、管理者はタスクをサブミットする前に違反をクリアできます。
たとえば企業は、ユーザ マネージャ ロールを持つユーザが同時にユーザ承認者ロールも持つことを禁止する禁止アイデンティティ ポリシーを作成できます。 管理者が[ユーザの変更]タスクを使用してユーザ マネージャにユーザ承認者ロールを与えた場合、CA Identity Manager から違反に関するメッセージが表示されます。 管理者はロールの割り当てを変更し、タスクをサブミットする前に違反をクリアできます。
CA Identity Manager 管理者は、変更をコミットする前に、CA Identity Governance で プロビジョニング ロールおよびユーザ属性の変更案を BPR(Business Policy Rules)に照らして検証できます。 BPR は権限のさまざまな制約を表します。 たとえば、ある BPR では、メンバの下請け会社への備品の発注を許可する調達部門のロールをもつユーザが、下請け会社に支払いを行うロールをもつことを禁じています。 システム管理者、ビジネス マネージャ、監査担当者、またはロール エンジニアが CA Identity Governance で BPR を作成します。
注: BPR の詳細については、「CA Identity GovernanceSage DNA User Guide」を参照してください。
注: 禁止アイデンティティ ポリシーとスマート プロビジョニングの詳細については、「CA Identity Manager 管理ガイド」を参照してください。
|
Copyright © 2015 CA Technologies.
All rights reserved.
|
|