身份策略可定义不能同时使用且不能同时授予同一用户的角色。 例如,可以防止有权加薪的用户经理同时成为工资批准人。
要创建强制职责隔离的身份策略集,请使用以下设置创建身份策略:
|
设置 |
值 |
|---|---|
|
应用一次 |
未启用 |
|
遵从 |
已启用 |
|
策略条件 |
使用“在 <管理交集限制>”选项定义违反业务策略的条件集合。 如果某一用户符合所有条件,则 Identity Manager 将执行“应用策略时的操作”字段中的操作。 例如,按如下所示设置策略条件: 交集(是 <某个角色> 的成员并且是 <某个其他角色> 的成员) |
|
应用策略时的操作 |
应用策略条件后,Identity Manager 应该执行的操作,例如:
|
下图展示了此例中的身份策略。
|
版权所有 © 2013 CA。
保留所有权利。
|
|