아이덴터티 정책 › 보호 ID 정책 › 보호 ID 정책에 대한 중요한 참고 사항

보호 ID 정책에 대한 중요한 참고 사항

보호 ID 정책을 구현하기 전에 다음 사항을 참고하십시오.

• 보호 ID 정책은 현재 태스크에서 제안된 변경 사항으로 인해 발생하는 위반만 방지합니다. 기존 위반은 방지하지 않습니다.

  예를 들어, 한 회사에서 사용자가 "사용자 관리자"와 "사용자 승인자" 역할을 동시에 갖지 못하도록 금지하는 보호 ID 정책을 만듭니다. 관리자가 이미 "사용자 관리자"와 "사용자 승인자" 역할을 가지고 있는 사용자에게 "그룹 관리자" 역할을 할당합니다. CA CA Identity Manager는 이 변경 사항이 정책 위반을 직접 유발하지 않기 때문에 새 역할의 할당을 허용합니다.

• 여러 개의 보호 ID 정책이 제안된 변경 사항에 적용되는 경우 CA CA Identity Manager는 거부 동작을 가진 정책을 먼저 적용합니다.
• 보호 ID 정책 조건에 동적 그룹을 지정하지 마십시오. 정책 조건에 따라 보호 ID 정책이 적용되는 사용자 집합이 결정됩니다.

  예를 들어, 한 회사에서 직책이 "관리자"인 모든 사용자를 포함하는 동적 그룹을 가지고 있습니다. 이 회사는 또한 "관리자" 그룹의 구성원이 "계약자" 역할을 갖지 못하도록 금지하는 보호 ID 정책을 만듭니다.

  관리자가 "계약자" 역할을 가지고 있는 사용자의 직책을 "관리자"로 변경합니다. 이 변경 사항에 따라 태스크가 성공적으로 제출된 후 사용자가 "관리자" 그룹의 구성원이 됩니다. 그러나 CA CA Identity Manager가 정책을 평가할 때 사용자의 직책이 "관리자"가 아니기 때문에 위반이 감지되지 않습니다.

• 보호 ID 정책의 정책 조건에서 역할 소유자 필터와 LDAP 쿼리 필터가 지원되지 않습니다.