17.4 Verwalten von Funktionstrennungsbeschränkungen

Mit der Aktion Funktionstrennungen verwalten auf der Registerkarte Funktionen der Identity Manager-Benutzeroberfläche können Sie:

Eine Funktionstrennungsbeschränkung repräsentiert eine Regel, die zwei Funktionen auf der gleichen Ebene erstellt, die sich gegenseitig ausschließen. Wenn ein Benutzer in der einen Funktion ist, kann er nicht in der zweiten Funktion sein, außer es ist eine Ausnahme für die Beschränkung erlaubt. Sie können definieren, ob Ausnahmen von der Beschränkung immer oder nur durch einen Genehmigungsablauf erlaubt sind.

Seitenzugriff Der Funktionsadministrator oder der Sicherheitsbeauftragte kann auf die Seite „Funktionstrennungen verwalten“ zugreifen. Der Sicherheitsbeauftragte benötigt Durchsuchen-Rechte für den SoDDef-Container im Identitätsdepot, aber keine Durchsuchen-Rechte auf Funktionen.

17.4.1 Neue Funktionstrennungsbeschränkung erstellen

  1. Klicken Sie auf Funktionstrennungen verwalten in der Liste der Funktionsverwaltungsaktionen.

  2. Klicken Sie auf Neu.

  3. Navigieren Sie zu Details zu neuen Funktionstrennungsbeschränkungen. Weitere Informationen zum Ausfüllen der Felder erhalten Sie unter Tabelle 17-5.

  4. Navigieren Sie zum Abschnitt Genehmigungsdetails. Weitere Informationen zum Ausfüllen der Felder erhalten Sie unter Tabelle 17-6.

  5. Klicken Sie zum Speichern der Änderungen auf Speichern.

17.4.2 Modifizieren vorhandener Funktionstrennungsbeschränkungen

  1. Klicken Sie auf Funktionstrennungen verwalten in der Gruppe Funktionsverwaltung.

  2. Zum Anzeigen oder Modifizieren einer vorhandenen Funktionstrennungsbeschränkung verwenden Sie die Objektauswahl oder das Werkzeug Verlauf anzeigen, um die Beschränkung auszuwählen. Weitere Details zu den Werkzeugen Objektauswahl und Verlauf anzeigen finden Sie unter Schaltfläche „Objektauswahl“ für die Suche verwenden.

  3. Wählen Sie in der Liste die von Ihnen gewünschte Funktionstrennung aus. Die Suchseite wird geschlossen und die Funktionstrennungsbeschränkungsdetails und Genehmigungsdetails für die ausgewählte Funktionstrennung werden angezeigt.

  4. Weitere Informationen zum Ausfüllen der Felder finden Sie unter Tabelle 17-5, Funktionstrennungsbeschränkungsdetails und Tabelle 17-6, Genehmigungsdetails.

  5. Klicken Sie zum Speichern der Änderungen auf Speichern.

17.4.3 Referenz für die Eigenschaften der Funktionstrennungsbeschränkung

Tabelle 17-5 Funktionstrennungsbeschränkungsdetails

Feld

Beschreibung

Name der Funktionstrennungs-beschränkung

Der Name der Beschränkung. Er wird in Berichten sowie bei der Anforderung einer Beschränkungsausnahme durch den Benutzer angezeigt. Wenn Sie eine Beschränkung erstellen, dürfen Sie die folgenden Zeichen nicht für den Namen der Funktionstrennungsbeschränkung verwenden: 

< > , ; \ " +  # = / | & *

Sie können sie in jede der unterstützten Sprachen übersetzen, indem Sie auf klicken.

Dieser Name kann auch im SoD-Editor in Designer für Identity Manager bereitgestellt werden.

Beschreibung der Funktionstrennungs-beschränkung

Die Beschreibung der Beschränkung.

Sie können sie in jede der unterstützten Sprachen übersetzen, indem Sie auf klicken.

Dieser Name kann im SoD-Editor in Designer für Identity Manager bereitgestellt werden.

Funktionskonflikt

Der Name der Funktion, für die Sie eine Beschränkung definieren möchten. Eine Funktion definiert eine Reihe von Rechten, die in Beziehung zu einem oder mehreren Zielsystemen oder Anwendungen stehen.

Dieses Feld ist während eines Modifizieren-Vorgangs schreibgeschützt.

Funktionskonflikt

Der Name der Konfliktfunktion. Klicken Sie auf Durchsuchen, um eine vorhandene Funktion unter den verfügbaren Funktionen zu suchen.

Dieses Feld ist während eines Modifizieren-Vorgangs schreibgeschützt.

HINWEIS:Es ist wichtig, die beiden in Konflikt befindlichen Funktionen anzugeben. Die Reihenfolge, in der Sie die in Konflikt befindlichen Funktionen angeben, spielt keine Rolle.

Tabelle 17-6 Genehmigungsdetails

Feld

Beschreibung

Genehmigung erforderlich

Wählen Sie „Ja“, falls Sie einen Workflow starten möchten, wenn ein Benutzer eine Ausnahme von der Funktionstrennungsbeschränkung anfordert.

HINWEIS:Wenn die Funktionstrennungsausnahme von einer impliziten Zuweisung herrührt, z. B. durch eine Gruppen- oder Container-Mitgliedschaft, führt die Auswahl von „Ja“ nicht zu einem Start des Genehmigungs-Workflows. Die Funktionstrennungsausnahme wird immer gewährt und als solche protokolliert.

Wählen Sie Nein, wenn der Benutzer eine Ausnahme von der Funktionstrennungsbeschränkung anfordern kann und keine Genehmigung erforderlich ist. In diesem Fall wird die Ausnahme immer genehmigt.

Funktionstrennungs-Genehmigungsdefinition

Zeigt den schreibgeschützten Namen der Bereitstellungsanforderungsdefinition an, die ausgeführt wird, wenn ein Benutzer eine Funktionstrennungsbeschränkungsausnahme anfordert. Der Wert wird vom Funktionskonfigurationsobjekt abgeleitet. Es wird nur ausgeführt, wenn Genehmigung erforderlich den Wert Ja hat.

Genehmigungstyp

Ein schreibgeschütztes Feld, das den Vorgangstyp für die oben gezeigte Bereitstellungsanforderungsdefinition anzeigt. Dieser Wert wird vom Funktionskonfigurationsobjekt abgeleitet.

Standardgenehmiger verwenden

Wählen Sie Ja, wenn die Genehmiger im Funktionssubsystem angegeben sind.

Wählen Sie Benutzer, wenn die Funktionstrennungsgenehmigungsaufgabe einem oder mehreren Benutzern zugewiesen werden soll. Wählen Sie Gruppe, wenn die Funktionstrennungsgenehmigungsaufgabe einer Gruppe zugewiesen werden soll. Wählen Sie Funktion, wenn die Aufgabe der Funktionstrennungsgenehmigung einer Funktion zugewiesen werden soll.

Verwenden Sie zum Auffinden eines bestimmten Benutzers, einer Gruppe oder einer Funktion die Objektauswahl oder die Verlaufsschaltflächen, wie unter Abschnitt 1.4.4, Allgemeine Benutzeraktionen beschrieben.

Verwenden Sie zum Ändern der Reihenfolge der Genehmiger in der Liste oder zum Löschen eines Genehmigers die Schaltflächen, wie in Abschnitt 1.4.4, Allgemeine Benutzeraktionen beschrieben.