Действие
на вкладке пользовательского интерфейса Identity Manager позволяет:Определять ограничение (или правило) разделения обязанностей (SoD).
Определять процедуру обработки запросов исключений для ограничения разделения обязанностей.
Ограничение SoD - это правило, согласно которому две роли одного уровня становятся взаимоисключающими. Если пользователю назначена одна роль, ему не может быть назначена вторая роль пары, если для данного ограничения не разрешено исключение. Вы можете определить, будут ли исключения для ограничения разрешены всегда или только после выполнения процедуры утверждения.
Доступ к странице Доступ к странице "Управление разделением обязанностей" предоставляется администраторам модуля ролей и сотрудникам системы безопасности. Сотрудникам системы безопасности требуются права просмотра для контейнера SoDDef в хранилище Identity Vault, но не нужны права просмотра для ролей.
Выберите действие
в списке действий .Нажмите кнопку
.Перейдите в раздел Таблица 17-5.
Сведения о заполнении полей см.:Перейдите в раздел Таблица 17-6.
. Сведения о заполнении полей см.:Нажмите кнопку
, чтобы зафиксировать изменения.Выберите
в группе действий .Для просмотра или изменения существующих ограничений разделения обязанностей используйте инструменты Использование кнопки "Выбор объектов" для поиска.
или , чтобы выбрать ограничение. Подробные сведения об использовании инструментов и см.:Выберите из списка нужное разделение обязанностей. Окно поиска закроется и появятся страницы
и для выбранного SoD.Сведения о заполнении полей см.: Таблица 17-5, Детали для ограничения разделения обязанностей и Таблица 17-6, Детали утверждения.
Нажмите кнопку
, чтобы зафиксировать изменения.Таблица 17-5 Детали для ограничения разделения обязанностей
ПРИМЕЧАНИЕ.Важно указать обе конфликтующие роли. Порядок указания конфликтующих ролей не имеет значения.
Таблица 17-6 Детали утверждения
Поле |
Описание |
---|---|
|
Выберите "Да", если хотите, чтобы при запросе пользователем исключения для ограничения SoD запускался рабочий процесс. ПРИМЕЧАНИЕ.Если исключение SoD возникает в результате косвенного назначения, например благодаря принадлежности к группе или контейнеру, то выбор "Да" не приводит к запуску рабочего процесса утверждения. В этом случае исключение SoD всегда предоставляется и регистрируется как таковое. Выберите , если пользователь может запрашивать исключение для ограничения SoD и утверждение при этом не требуется. В этом случае исключение всегда считается утвержденным. |
|
Отображает доступное только для чтения имя определения для обеспечения запроса, которое выполняется, когда пользователь запрашивает исключение для ограничения SoD. Значение извлекается из объекта конфигурации ролей. Определение выполняется только в том случае, когда для свойства выбрано значение . |
|
Доступное только для чтения поле, в котором отображается тип обработки показанного выше определения для обеспечения запроса. Это значение извлекается из объекта конфигурации ролей. |
|
Выберите , если утверждающие определены в подсистеме ролей.Выберите , если задачу утверждения SoD нужно назначить одному или нескольким пользователям. Выберите , если задачу утверждения SoD нужно назначить группе.Чтобы найти конкретного пользователя или группу, используйте кнопки "Выбор объектов" или "История", как описано в разделе Раздел 1.4.4, Действия обычного пользователя. Чтобы изменить порядок перечисления утверждающих в списке или удалить утверждающего, используйте кнопки, как описано в разделе Раздел 1.4.4, Действия обычного пользователя. |