업무 분리(SOD) 요구 사항을 처리하기 위해 ID 정책과 보호 ID 정책을 결합할 수 있습니다. 이 경우, ID 정책은 기존 SOD 위반을 처리하고 보호 ID 정책은 새 위반을 금지합니다.
이 사용 사례를 지원하기 위해 다음 두 가지 동작 유형을 갖는 ID 정책 세트를 구성하십시오.
이 동작을 수행하면 사용자 특성, 그룹 및 역할 구성원, 관리자 또는 소유자가 변경됩니다. 예를 들어, 이 유형의 동작은 위반이 감지된 경우 역할에서 사용자를 제거할 수 있습니다.
이 동작은 태스크가 제출될 때 적용되지 않는다는 점에서 예방적인 동작과 다릅니다. 이 동작은 사용자 동기화 중에만 적용됩니다.
이 동작은 태스크가 제출되기 전에 보호 ID 정책 위반이 발생할 때 CA CA Identity Manager에서 실행할 동작을 결정합니다. CA CA Identity Manager는 태스크 제출을 허용하거나 경고를 실행하고 워크플로 프로세스를 트리거하거나 태스크가 제출되지 않도록 방지할 수 있습니다.
각 경우마다 위반은 감사 데이터베이스에 기록됩니다.
한 회사에서 사용자가 동시에 "인사 관리자"와 "급여 승인자"의 역할을 갖는 것을 방지하려고 합니다. 이 회사는 다음 두 가지 정책 적용 동작을 갖는 ID 정책을 만듭니다.
이 동작은 CA CA Identity Manager에서 사용자를 ID 정책과 동기화할 때 발생합니다.
이 경우, 이 회사는 "사용자 수정" 태스크에 대한 사용자 동기화를 구성했습니다. 관리자가 사용자를 수정할 때 CA CA Identity Manager에서 적용 가능한 모든 ID 정책을 평가하고 동작을 적용합니다. 이 예제에서 CA CA Identity Manager는 "인사 관리자" 역할과 "급여 승인자" 역할을 갖는 사용자를 "급여 승인자" 역할에서 제거합니다.
이 예방적인 동작은 관리자가 태스크를 제출하도록 허용하지 않음으로써 관리자가 두 가지 역할을 한 사람에게 할당하지 못하도록 금지합니다.
참고: 두 가지 동작을 갖는 ID 정책을 구성할 때는 각 동작이 충돌하지 않는지 확인하십시오. 예를 들어, 사용자가 "관리자"와 "계약자" 역할을 갖지 못하도록 방지하는 ID 정책을 구성할 수 있습니다. 이 정책에서는 다음 두 가지 동작을 지정합니다.
승인자가 "관리자" 및 "계약자" 역할에 대한 역할 할당을 승인하지만, 두 번째 동작은 사용자 동기화가 발생할 때 사용자를 "관리자" 역할에서 제거합니다.
|
Copyright © 2015 CA Technologies.
All rights reserved.
|
|