Novell Doc: User Application версии 3.6, модуль доступа к информации на основе ролей. Руководство пользователя - Управление ограничениями разделения обязанностей

17.4 Управление ограничениями разделения обязанностей

Действие Управление разделением обязанностей на вкладке Роли пользовательского интерфейса Identity Manager позволяет:

Определять ограничение (или правило) разделения обязанностей (SoD).
Определять процедуру обработки запросов исключений для ограничения разделения обязанностей.

Ограничение SoD - это правило, согласно которому две роли одного уровня становятся взаимоисключающими. Если пользователю назначена одна роль, ему не может быть назначена вторая роль пары, если для данного ограничения не разрешено исключение. Вы можете определить, будут ли исключения для ограничения разрешены всегда или только после выполнения процедуры утверждения.

Доступ к странице Доступ к странице "Управление разделением обязанностей" предоставляется администраторам модуля ролей и сотрудникам системы безопасности. Сотрудникам системы безопасности требуются права просмотра для контейнера SoDDef в хранилище Identity Vault, но не нужны права просмотра для ролей.

17.4.1 Создание новых ограничений разделения обязанностей

Выберите действие Управление разделением обязанностей в списке действий Управление ролями.
Нажмите кнопку Создать.
Перейдите в раздел Детали нового ограничения разделения обязанностей Сведения о заполнении полей см.: Таблица 17-5.
Перейдите в раздел Детали утверждения. Сведения о заполнении полей см.: Таблица 17-6.
Нажмите кнопку Сохранить, чтобы зафиксировать изменения.

17.4.2 Изменение существующих ограничений разделения обязанностей

Выберите Управление разделением обязанностей в группе действий Управление ролями.
Для просмотра или изменения существующих ограничений разделения обязанностей используйте инструменты Выбор объектов или Показать историю, чтобы выбрать ограничение. Подробные сведения об использовании инструментов Выбор объектов и Показать историю см.: Использование кнопки "Выбор объектов" для поиска.
Выберите из списка нужное разделение обязанностей. Окно поиска закроется и появятся страницы Детали ограничения разделения обязанностей и Детали утверждения для выбранного SoD.
Сведения о заполнении полей см.: Таблица 17-5, Детали для ограничения разделения обязанностей и Таблица 17-6, Детали утверждения.
Нажмите кнопку Сохранить, чтобы зафиксировать изменения.

17.4.3 Справочник свойств ограничения SoD

Таблица 17-5 Детали для ограничения разделения обязанностей

Поле	Описание
Имя ограничения SoD	Имя ограничения. Оно отображается в отчетах и в случаях, когда пользователь запрашивает исключение для ограничения. Вы можете выполнить его локализацию на любом из поддерживаемых языков, щелкнув . Это имя можно также указать в редакторе SoD модуля "Проектировщик для Identity Manager".
Описание ограничения SoD	Описание ограничения. Вы можете выполнить его локализацию на любом из поддерживаемых языков, щелкнув . Это имя можно указать в редакторе SoD модуля "Проектировщик для Identity Manager".
Конфликтующая роль	Имя роли, для которой определяется ограничение. Роль определяет набор полномочий, связанных с одним или несколькими целевыми системами или приложениями. При операциях изменения это поле доступно только для чтения.
Конфликтующая роль	Имя второй конфликтующей роли. Нажмите кнопку Просмотр для поиска существующей роли в списке доступных ролей. При операциях изменения это поле доступно только для чтения.

ПРИМЕЧАНИЕ.Важно указать обе конфликтующие роли. Порядок указания конфликтующих ролей не имеет значения.

Таблица 17-6 Детали утверждения

Поле	Описание
Требуется утверждение	Выберите "Да", если хотите, чтобы при запросе пользователем исключения для ограничения SoD запускался рабочий процесс. ПРИМЕЧАНИЕ.Если исключение SoD возникает в результате косвенного назначения, например благодаря принадлежности к группе или контейнеру, то выбор "Да" не приводит к запуску рабочего процесса утверждения. В этом случае исключение SoD всегда предоставляется и регистрируется как таковое. Выберите Нет, если пользователь может запрашивать исключение для ограничения SoD и утверждение при этом не требуется. В этом случае исключение всегда считается утвержденным.
Определение утверждения SoD	Отображает доступное только для чтения имя определения для обеспечения запроса, которое выполняется, когда пользователь запрашивает исключение для ограничения SoD. Значение извлекается из объекта конфигурации ролей. Определение выполняется только в том случае, когда для свойства Требуется утверждение выбрано значение Да.
Тип утверждения	Доступное только для чтения поле, в котором отображается тип обработки показанного выше определения для обеспечения запроса. Это значение извлекается из объекта конфигурации ролей.
Использовать утверждающих по умолчанию	Выберите Да, если утверждающие определены в подсистеме ролей. Выберите Пользователь, если задачу утверждения SoD нужно назначить одному или нескольким пользователям. Выберите Группа, если задачу утверждения SoD нужно назначить группе. Чтобы найти конкретного пользователя или группу, используйте кнопки "Выбор объектов" или "История", как описано в разделе Раздел 1.4.4, Действия обычного пользователя. Чтобы изменить порядок перечисления утверждающих в списке или удалить утверждающего, используйте кнопки, как описано в разделе Раздел 1.4.4, Действия обычного пользователя.