身份策略 › 身份策略

身份策略

身份策略是指在用户符合某一条件或规则时，所发生的一组业务更改。 您可以使用身份策略集执行以下操作：

• 自动执行某些身份管理任务，例如分配角色和组员资格、分配资源或修改用户配置文件属性。
• 强制执行职责划分。 例如，您可以创建一个身份策略集，用于禁止支票签署人角色的成员拥有支票批准人角色，并将公司每个人可签署支票的金额限定在 10000 美元以内。
• 强制遵从。 例如，您可以审核担任某一职务且酬劳超过 100000 美元的用户。

  强制遵从的身份策略称为遵从策略。

与身份策略相关联的业务更改包括：

• 分配或吊销角色，包括配给角色（如果仅使用配给目录）
• 分配或吊销组员资格
• 更新用户配置文件中的属性

例如，某家公司可能会创建一个身份策略，规定所有副总裁均属于乡村俱乐部成员组，且均具有工资批准人角色。 当用户的职称变为副总裁，且该用户与该身份策略同步时，CA IdentityMinder 会将该用户添加到相应的组和角色。 如果副总裁晋升为 CEO，她将不再满足副总裁身份策略中的条件，因此将吊销该策略所应用的更改，并且将应用基于 CEO 策略的新更改。

基于身份策略的更改操作包含可置于工作流控制下且能进行审核的事件。 在上一示例中，工资批准人角色向其成员授予了重要权限。 为保护工资批准人角色，公司可以创建一个工作流流程，要求在分配此角色之前经过一系列批准，并且可配置 CA IdentityMinder 对角色分配进行审核。

为简化身份策略管理，身份策略将组成一个身份策略集。 例如，副总裁策略和 CEO 策略可能属于行政权限身份策略集。

注意：CA IdentityMinder 包括身份策略的其他类型，名为预防性身份策略。 通过在提交任务之前执行的这些策略，管理员可以在分配权限或更改配置文件属性之前检查策略违规。 如果违规存在，在提交任务之前，管理员可以清除违规。