アイデンティティ ポリシーで同じユーザに同時にロールを許可できない相互排他的なロールを定義できます。 たとえば、昇給を許可できるユーザ マネージャが給与承認担当者にならないようにすることができます。
職務の分離を適用するアイデンティティ ポリシー セットを作成するには、以下の手順に従ってアイデンティティ ポリシーを作成します。
|
設定 |
値 |
|---|---|
|
1 回のみ適用 |
無効 |
|
コンプライアンス |
有効 |
|
ポリシー条件 |
<管理 AND 演算制約> オプションを使用して、ビジネス ポリシーに違反する一連の条件を定義します。 ユーザがすべての条件を満たす場合は、[ポリシー適用時のアクション]フィールドのアクションが CA IdentityMinder によって実行されます。 たとえば、以下のようにポリシー条件を設定します。 AND 演算(<ロール>のメンバである)かつ(<他のロール>のメンバである) |
|
ポリシー適用時のアクション |
ポリシー条件の適用時に CA IdentityMinder によって実行されるアクション。以下に例を示します。
|
以下の図に、この例のアイデンティティ ポリシーを示します。
![画面は、[ポリシー名]列を持ったアイデンティティ ポリシー、ポリシー メンバ ルール、およびポリシー適用時のアクションを示します。](o271024.png)
|
Copyright © 2013 CA.
All rights reserved.
|
|