Identity Manager 用户界面的
选项卡上的 允许您:定义职责分离 (SoD) 限制(或规则)。
定义如何处理限制异常的请求。
SoD 限制表示一个使得两个同一级别的角色互斥的规则。如果用户已是一个角色,则不能为第二个角色,除非允许该限制存在异常。可以定义是始终允许对该限制的异常,还是仅通过批准流程允许。
页面访问 “管理职责分离”页面可由角色管理员或安全专员访问。安全专员需要身份库中 SoDDef 容器的浏览权限,但不需要角色的浏览权限。
单击
操作组中的 。要查看或修改现有 SoD 限制,请使用使用“对象选择器”按钮进行搜索。
或 工具来选择限制。有关使用 和 工具的细节,请参见从列表中选择所需的 SoD。查找页面关闭,并将显示所选 SoD 的
和 。有关填写字段的信息,请参见表 17-5, 职责分离限制细节和表 17-6, 批准细节。
单击
以永久保存更改。表 17-5 职责分离限制细节
注:指定冲突的两个角色十分重要。 而指定冲突角色的顺序则无关紧要。
表 17-6 批准细节
字段 |
说明 |
---|---|
|
当用户对 SoD 限制请求异常时,如果要起动工作流程,请选择“是”。 注:如果该 SoD 异常来自于隐含指派,如通过组或容器成员资格,则选择“是”不会导致批准工作流程启动。SoD 异常始终得到授权,并同样登录。 如果用户可以对 SoD 限制请求异常且不需要任何批准,请选择 。这种情况下,将始终批准该异常。 |
|
显示用户请求 SoD 限制异常时执行的供应请求定义的只读名称。该值源自“角色配置”对象。仅当 为 时才执行。 |
|
显示以上所显示供应请求定义的处理类型的只读字段。该值源自“角色配置”对象。 |
|
如果在角色子系统中指定批准者,请选择 。如果 SoD 批准任务应该指派给一个或多个用户,则选择 。如果 SoD 批准任务应该指派给组,请选择 。如果应将 SoD 批准任务指派给角色,请选择 。要查找特定用户、组或角色,请使用部分 1.4.4, 常用用户操作中所述的“对象选择器”或“历史”按钮。 要更改批准者在列表中的顺序或删除批准者,请使用部分 1.4.4, 常用用户操作中所述的按钮。 |