17.4 役割分担制約の管理
Identity Managerユーザインタフェースの[]タブにある[]アクションを使用すると、次のことが実行できます。
-
役割分担(SoD)制約(または規則)を定義します。
-
制約に対する例外の要求をどのように処理するかを定義します。
SoD制約とは、同レベルの2つの役割を相互排他的にする規則を表します。ユーザが1つの役割に含まれる場合は、その制約上例外が許可されていない限り、2つ目の役割には属することができません。制約への例外を常に許可するか、承認フローを通じてのみ許可されるかを定義できます。
ページへのアクセス [役割分担の管理]ページへは、役割管理者またはセキュリティ責任者がアクセスできます。 セキュリティ責任者には、識別ボールト内のSoDDefコンテナへの参照権限が必要ですが、役割への参照権限は必要ありません。
17.4.1 新規役割分担制約の作成
17.4.2 既存のSoD制約の変更
-
アクションの[]グループの中で[]をクリックします。
-
既存のSoD制約を表示または変更するには、[]ツールまたは[]ツールを使用して制約を選択します。[]ツールおよび[]ツールの使用方法の詳細については、[オブジェクトセレクタ]ボタンを使用した検索を参照してください。
-
一覧の中から目的のSoDを選択します。検索ページが閉じ、選択したSoDに対する[]および[]が表示されます。
-
フィールドへの入力については、表 17-5, 役割分担制約の詳細および表 17-6, 承認の詳細を参照してください。
-
[]をクリックし、変更を永続的にします。
17.4.3 SoD制約プロパティリファレンス
表 17-5 役割分担制約の詳細
をクリックして、サポートされている任意の言語でこの名前をローカライズできます。
メモ:競合している2つの役割を指定することが重要です。競合している役割を指定する順序は重要ではありません。
表 17-6 承認の詳細
|
フィールド |
説明 |
|---|---|
|
|
ユーザがSoD制約への例外を要求するとワークフローが起動されるようにするには、[はい]を選択します。 メモ:SoD例外がグループまたはコンテナのメンバーシップによる黙示的な割り当ての結果発生した場合、[はい]を選択しても承認ワークフローは開始されません。SoD例外は常に承認され、その状態がログに記録されます。 ユーザがSoD制約に対する例外を要求でき、承認が必要でない場合は[]を選択します。この場合、例外は常に承認されます。 |
|
|
ユーザがSoD制約の例外を要求する際に実行されるプロビジョニング要求定義の読み込み専用の名前を表示します。値は、役割設定オブジェクトから生成されます。これは、[]が[]の場合のみ実行されます。 |
|
|
前に表示されたプロビジョニング要求定義の処理タイプを表示する読み込み専用のフィールドです。この値は、役割設定オブジェクトから生成されます。 |
|
|
役割サブシステムで承認者が指定されている場合は、[」を選択します。 SoD承認タスクを1人以上のユーザに割り当てる必要がある場合は、[]を選択します。SoD承認タスクをグループに割り当てる必要がある場合は、[]を選択します。 特定のユーザまたはグループを参照するには、セクション 1.4.4, 一般的なユーザアクションで説明されているように、[オブジェクトセレクタ]または[履歴]ボタンを使用します。 リスト内の承認者の順序を変更する、または承認者を削除するには、セクション 1.4.4, 一般的なユーザアクションで説明されているボタンを使用します。 |