Puede combinar las políticas de identidad y las políticas de identidad preventivas para afrontar los requisitos de segregación de obligaciones (SOD). En este caso, las políticas de identidad tratan las infracciones de SOD existentes mientras que las políticas de identidad preventivas prohíben nuevas infracciones.
Para poder realizar este caso, configure un conjunto de políticas de identidad con dos tipos de acciones:
Estas acciones dan como resultado cambios en los atributos de usuario, miembros de grupos y roles, administradores o propietarios. Por ejemplo, una acción de este tipo puede quitar un usuario de un rol cuando se detecta una infracción.
Estas acciones se diferencian de las acciones preventivas en que no se aplican cuando se envía una tarea. Se aplican sólo durante la sincronización de usuarios.
Estas acciones determinan lo que CA IdentityMinder hace cuando se produce una infracción de política de identidad preventiva antes de que se envíe una tarea. CA IdentityMinder puede permitir el envío de la tarea, emitir una advertencia e iniciar un proceso de flujo de trabajo, o bien impedir que se envíe la tarea.
En cada uno de estos casos, la infracción se registra en la base de datos de auditoría.
Imaginemos una compañía que desea impedir que los usuarios tengan roles de administrador de Recursos Humanos y de aprobador de salarios a la vez. Esa empresa crea una política de identidad con dos acciones Acción al Aplicar política:
Esta acción se produce cuando CA IdentityMinder sincroniza a los usuarios con políticas de identidad.
En este caso, esta compañía configuró la sincronización de usuarios para la tarea Modificar usuario. Cuando un administrador modifica a un usuario, CA IdentityMinder evalúa todas las políticas de identidad aplicables y aplica las acciones. En este ejemplo, CA IdentityMinder elimina los usuarios que tienen el rol de administrador de Recursos Humanos y de aprobador de salarios de este último rol.
Esta acción preventiva prohíbe a los administradores la asignación de estos dos roles a una persona al no permitir que el administrador envíe la tarea.
Nota: Cuando se configura una política de identidad con ambos tipos de acciones, compruebe que no haya conflictos entre ellas. Por ejemplo, puede configurar una política de identidad que impida a los usuarios tener los roles Gestor y Contratista. En la política, especifique dos acciones:
Los aprobadores aprueban la asignación de roles para los roles Gestor y Contratista, aunque la segunda acción elimina el usuario del rol Gestor cuando se produce la sincronización de usuarios.
|
Copyright © 2013 CA.
Todos los derechos reservados.
|
|