禁止アイデンティティ ポリシーは、ユーザが利害の衝突や不正の原因となりうる権限を得ることを防止するタイプのアイデンティティ ポリシーです。 これらのポリシーは、企業に要求される職務分掌(SOD)をサポートします。
タスクがサブミットされる前に禁止のアイデンティティ ポリシーを実行することにより、管理者は権限の割り当てやプロファイル属性の変更を行う前にポリシー違反を確認することができます。 違反がある場合、管理者はタスクをサブミットする前に違反をクリアできます。
たとえば企業は、ユーザ マネージャ ロールを持つユーザが同時にユーザ承認者ロールも持つことを禁止する禁止アイデンティティ ポリシーを作成できます。 管理者が[ユーザの変更]タスクを使用してユーザ マネージャにユーザ承認者ロールを与えた場合、CA IdentityMinder は違反についてのメッセージを表示します。 管理者はロールの割り当てを変更し、タスクをサブミットする前に違反をクリアできます。
次の変更に対して、禁止アイデンティティ ポリシーを作成できます。
ユーザが特定のロールを同時に持つことを防ぎます。
たとえば、ユーザは、ユーザ マネージャとユーザ承認者ロールを同時に持つことはできません。
ユーザがほかのロールの管理者である場合、特定のロール管理者になるのを防ぎます。
たとえば、ユーザは、ユーザ マネージャとユーザ承認者ロールの管理者には同時になることはできません。
ユーザが特定のプロファイル属性を同時に持つことを防ぎます。
たとえば、ユーザはシニア アカウンタントの役職を持ちながら、IT 部門に属することはできません。
ユーザ プロファイルが特定の組織内で作成されるのを防ぎます。
たとえば、管理者は従業員プロファイルをサプライヤの組織に作成することはできません。
ユーザが特定のグループのメンバになるのを防ぎます。
たとえば、ユーザはプロジェクト チーム グループとアカウンティング グループのメンバになることはできません。
|
Copyright © 2013 CA.
All rights reserved.
|
|