アイデンティティ ポリシー › アイデンティティ ポリシー

アイデンティティ ポリシー

アイデンティティ ポリシーは、ユーザが特定の条件やルールを満たした場合に発生する一連のビジネス変化です。 アイデンティティ ポリシー セットを使用して以下の処理を実行できます。

• ロールやグループ メンバシップの割り当て、リソースの割り当て、ユーザ プロファイル属性の変更といった、特定のアイデンティティ管理タスクを自動化する。
• 職務の分離を実行する。 たとえば、アイデンティティ ポリシー セットを作成し、Check Signer ロールのメンバが Check Approver ロールを所有することを禁止して社内の人間が $10,000 を超える小切手を書くことを制限することができます。
• コンプライアンスを適用する。 たとえば、特定の役職に就いており給与が $100,000 を超えるユーザを監査できます。

  コンプライアンスを適用するアイデンティティ ポリシーは、コンプライアンス ポリシーと呼ばれます。

アイデンティティ ポリシーに関連付けられるビジネス変化には以下のものがあります。

• プロビジョニング ロールをはじめとするロールの割り当てまたは取り消し（プロビジョニング ディレクトリのみを使用している場合）
• グループ メンバシップの割り当てまたは取り消し
• ユーザ プロファイルの属性の更新

たとえば、ある企業では、副社長は全員カントリー クラブ メンバー グループに所属しており、給与承認者ロールを所有していることを記述するアイデンティティ ポリシーを作成する場合があります。 ユーザの役職を副社長に変更して、このユーザをアイデンティティ ポリシーと同期すると、CA IdentityMinder は適切なグループとロールにユーザを追加します。 副社長が CEO に昇進すると、副社長アイデンティティ ポリシーの条件を満たさなくなります。よって、このポリシーで適用されていた変更は取り消され、CEO ポリシーに基づいた新しい変更が適用されます。

アイデンティティ ポリシーに基づいて発生するこの変更アクションには、ワークフロー制御下に置かれて監査されるイベントが含まれます。 前の例では、給与承認者ロールによって、所属するメンバに重要な権限が付与されます。 給与承認者ロールを保護するために、企業は、ロールの割り当ての前に一連の承認を必要とするワークフロー プロセスを作成し、CA IdentityMinder を設定してロールの割り当てを監査できます。

アイデンティティ ポリシー管理を簡略化するため、アイデンティティ ポリシーはアイデンティティ ポリシー セットとしてグループ化されています。 たとえば、副社長ポリシーと CEO ポリシーを、幹部権限アイデンティティ ポリシー セットの一部とすることができます。

注: CA IdentityMinder には「禁止アイデンティティ ポリシー」と呼ばれる追加のタイプのアイデンティティ ポリシーが含まれます。 タスクがサブミットされる前に実行されるこれらのポリシーにより、管理者は権限の割り当てやプロファイル属性の変更を行う前にポリシー違反を確認することができます。 違反がある場合、管理者はタスクをサブミットする前に違反をクリアできます。