Novell Doc: Applicazione utente Modulo di provisioning basato su ruoli per Identity Manager: Guida dell'utente - Gestione dei vincoli di separazione dei compiti

17.4 Gestione dei vincoli di separazione dei compiti

L'azione Gestisci separazione dei compiti nella scheda Ruoli dell'interfaccia utente di Identity Manager consente di:

Definire un vincolo (o una regola) di separazione dei compiti (SoD).
Definire la modalità di elaborazione delle richieste di eccezioni al vincolo.

Un vincolo di separazione dei compiti rappresenta una regola in base alla quale due ruoli dello stesso livello si escludono a vicenda. Un utente con un ruolo non può ricoprirne un altro, a meno che non sia stata concessa un'eccezione per il vincolo specificato. È possibile definire se le eccezioni al vincolo sono concesse sempre oppure solo mediante un flusso di approvazione.

Accesso alle pagine Solo gli amministratori dei ruoli e i responsabili della sicurezza possono accedere alla pagina Gestisci separazione dei compiti. Il responsabile della sicurezza deve disporre dei diritti di esplorazione per il container SoDDef nell'Identity Vault, ma non per i ruoli.

17.4.1 Creazione di nuovi vincoli di separazione dei compiti

Fare clic su Gestisci separazione dei compiti nell'elenco di azioni Gestione ruoli.
Fare clic su Nuovo.
Passare a Nuovi dettagli del vincolo separazione dei compiti. Per ulteriori informazioni su come compilare i campi, vedere Tabella 17-5.
Passare alla sezione Dettagli dell'approvazione. Per ulteriori informazioni su come compilare i campi, vedere Tabella 17-6.
Fare clic su Salva per rendere permanenti le modifiche apportate.

17.4.2 Modifica di vincoli di separazione dei compiti esistenti

Fare clic su Gestisci separazione dei compiti nel gruppo di azioni Gestione ruoli.
Per visualizzare o modificare un vincolo di separazione dei compiti esistente, utilizzare lo strumento Selettore oggetti o Mostra cronologia per selezionare il vincolo. Per informazioni dettagliate sull'utilizzo degli strumenti Selettore oggetti e Mostra cronologia, vedere Utilizzo del pulsante Selettore oggetti per la ricerca.
Selezionare il vincolo di separazione dei compiti desiderato dall'elenco. La pagina di ricerca verrà chiusa e verranno visualizzati i campi Dettagli del vincolo separazione dei compiti e Dettagli dell'approvazione relativo alla separazione dei compiti selezionata.
Per ulteriori informazioni su come compilare questi campi, vedere Tabella 17-5, Dettagli del vincolo separazione dei compiti e Tabella 17-6, Dettagli dell'approvazione.
Fare clic su Salva per rendere permanenti le modifiche apportate.

17.4.3 Riferimento alla proprietà del vincolo di separazione dei compiti

Tabella 17-5 Dettagli del vincolo separazione dei compiti

Campo	Descrizione
Nome vincolo separazione dei compiti	Nome del vincolo. Viene visualizzato nei rapporti e quando l'utente richiede un'eccezione del vincolo. È possibile localizzarlo in una delle lingue supportate facendo clic su . Questo nome può anche essere indicato nell'editor di separazione dei compiti in Designer per Identity Manager.
Descrizione vincolo separazione dei compiti	Descrizione del vincolo. È possibile localizzarlo in una delle lingue supportate facendo clic su . Questo nome può essere indicato nell'editor di separazione dei compiti in Designer per Identity Manager.
Ruolo in conflitto	Nome del ruolo per cui si desidera definire un vincolo. Un ruolo definisce un gruppo di privilegi correlati a uno o più sistemi o applicazioni di destinazione. Durante un'operazione di modifica questo campo è di sola lettura.
Ruolo in conflitto	Nome del ruolo in conflitto. Fare clic su Sfoglia per individuare un ruolo esistente tra quelli disponibili. Durante un'operazione di modifica questo campo è di sola lettura.

NOTA:è importante specificare i due ruoli in conflitto. L'ordine dei ruoli in conflitto non ha importanza.

Tabella 17-6 Dettagli dell'approvazione

Campo	Descrizione
Approvazione necessaria	Scegliere Sì se si desidera avviare un workflow quando un utente richiede un'eccezione del vincolo di separazione dei compiti. NOTA:se l'eccezione di separazione dei compiti deriva da un'assegnazione implicita, ad esempio da un'appartenenza a un gruppo o container, la selezione dell'opzione Sì non comporta l'avvio del workflow di approvazione. L'eccezione di separazione dei compiti viene concessa sempre e registrata in questo modo. Selezionare No se l'utente può richiedere un'eccezione del vincolo di separazione dei compiti e non è necessaria alcuna approvazione. In questo caso, l'eccezione viene sempre approvata.
Definizione approvazione separazione dei compiti	Visualizza il nome di sola lettura della definizione della richiesta di provisioning che viene eseguita quando un utente richiede un'eccezione del vincolo di separazione dei compiti. Il valore deriva dall'oggetto Configurazione ruoli. Viene eseguita solo quando l'opzione Approvazione necessaria è impostata su Sì.
Tipo di approvazione	Campo di sola lettura che visualizza il tipo di elaborazione per la definizione di richiesta di provisioning visualizzata sopra. Il valore deriva dall'oggetto Configurazione ruoli.
Usa approvatori di default	Selezionare Sì se gli approvatori sono specificati nel sottosistema del ruolo. Selezionare Utente se il task di approvazione di separazione dei compiti deve essere assegnato a uno o più utenti. Selezionare Gruppo se il task di approvazione di separazione dei compiti deve essere assegnato a un gruppo. Per individuare un utente o un gruppo specifico, utilizzare i pulsanti Selettore oggetti o Cronologia come illustrato in Sezione 1.4.4, Azioni comuni degli utenti. Per cambiare l'ordine degli approvatori nell'elenco o per eliminare un approvatore, utilizzare i pulsanti come illustrato in Sezione 1.4.4, Azioni comuni degli utenti.