アイデンティティ ポリシーおよび禁止アイデンティティ ポリシーを統合して、職務分掌(SOD)要件に対応できます。 この場合、アイデンティティ ポリシーは既存の SOD 違反に対処し、禁止アイデンティティ ポリシーは新しい違反を禁じます。
この使用事例をサポートするため、2 種類のアクションを持つアイデンティティ ポリシー セットを設定します。
これらのアクションの結果、ユーザ属性、グループおよびロール メンバ、管理者、または所有者が変更されます。 たとえば、このタイプのアクションは、違反が検出されるとユーザをロールから削除する可能性があります。
これらのアクションは、禁止アクションとは異なり、タスクのサブミット時に適用されません。 適用されるのは、ユーザの同期中のみです。
これらのアクションは、タスクがサブミットされる前の禁止アイデンティティ ポリシー違反の発生時に、CA IdentityMinder が何をするかを決定します。 CA IdentityMinder はタスクによるサブミットの許可、警告発行およびワークフロー プロセスのトリガ、またはタスクによるサブミットの防止などができます。
これらの各事例では、違反は監査データベースに記録されます。
ユーザが人事管理者と給与承認者のロールを同時に持つことを防ぎたい企業について考えてみます。 この企業は 2 つの[ポリシー適用時のアクション]アクションを持つアイデンティティ ポリシーを作成します。
このアクションは、CA IdentityMinder がアイデンティティ ポリシーを持つユーザと同期すると発生します。
この事例では、企業は[ユーザの変更]タスク用のユーザの同期を設定しています。 管理者がユーザを変更する場合、CA IdentityMinder はすべての適用可能なアイデンティティ ポリシーを評価してアクションを適用します。 この例では、CA IdentityMinder は人事管理者ロールおよび給与承認者ロールを持つユーザを、給与承認者ロールから削除します。
この禁止アクションは、管理者にタスクのサブミットを許可しないことによって、管理者がこれら 2 つのロールを個人に割り当てることを禁止します。
注: 両方のタイプのアクションを持つアイデンティティ ポリシーを設定する場合、アクションが競合しないことを確認してください。 たとえば、ユーザがマネージャおよび契約社員ロールを持つことを防止するアイデンティティ ポリシーを設定します。 ポリシーで 2 つのアクションを特定します。
承認者はマネージャおよび契約社員ロールのロール割り当てを承認しますが、2 つめのアクションでは、ユーザの同期が発生するとマネージャ ロールからユーザを削除します。
|
Copyright © 2013 CA.
All rights reserved.
|
|