预防性身份策略是一种身份策略,它会阻止用户接收可能会导致利益冲突或欺骗的权限。 这些策略支持公司的职责隔离 (SOD) 要求。
通过在提交任务之前执行的这些预防性身份策略,管理员可以在分配权限或更改配置文件属性之前检查策略违规。 如果违规存在,在提交任务之前,管理员可以清除违规。
例如,公司可以创建一个预防性身份策略,来阻止具有用户经理角色的用户同时具有用户批准人角色。 如果管理员使用修改用户任务为用户管理者提供用户批准人角色,CA IdentityMinder 则会显示一条关于该违规的消息。 管理员可以更改角色分配以便在提交任务之前清除该违规。
您可以针对下列更改创建预防性身份策略:
防止用户同时拥有某些特定角色。
例如,用户不能同时拥有用户经理和用户批准人角色。
如果某些用户是某些角色的管理员,防止这些用户成为其他角色的管理员。
例如,用户不能同时是用户经理和用户批准人角色的管理员。
防止用户同时拥有某些配置文件属性。
例如,用户不能在具有高级客户职务的同时属于 IT 部门。
防止在某个特定组织中创建用户配置文件。
例如,管理员不能在供应商组织中创建员工配置文件。
防止用户成为某些组的成员。
例如,用户不能同时是项目团队组和会计组的成员。
|
版权所有 © 2013 CA。
保留所有权利。
|
|