17.4 管理职责分离限制

Identity Manager 用户界面的角色选项卡上的管理职责分离允许您:

SoD 限制表示一个使得两个同一级别的角色互斥的规则。如果用户已是一个角色,则不能为第二个角色,除非允许该限制存在异常。可以定义是始终允许对该限制的异常,还是仅通过批准流程允许。

页面访问 “管理职责分离”页面可由角色管理员或安全专员访问。安全专员需要身份库中 SoDDef 容器的浏览权限,但不需要角色的浏览权限。

17.4.1 创建新的职责分离限制

  1. 单击角色管理操作列表中的管理职责分离

  2. 单击“新建”

  3. 浏览到新建职责分离限制细节。有关完成字段设置的信息,请参见表 17-5

  4. 浏览到批准细节部分。有关完成字段设置的信息,请参见表 17-6

  5. 单击保存以永久保存更改。

17.4.2 修改现有 SoD 限制

  1. 单击角色管理操作组中的管理职责分离

  2. 要查看或修改现有 SoD 限制,请使用对象选择器显示历史工具来选择限制。有关使用对象选择器显示历史工具的细节,请参见使用“对象选择器”按钮进行搜索

  3. 从列表中选择所需的 SoD。查找页面关闭,并将显示所选 SoD 的职责分离限制细节批准细节

  4. 有关填写字段的信息,请参见表 17-5, 职责分离限制细节表 17-6, 批准细节

  5. 单击保存以永久保存更改。

17.4.3 SoD 限制属性参照

表 17-5 职责分离限制细节

字段

说明

SoD 限制名称

限制的名称。它在报告中显示,且当用户请求限制例外时显示。创建限制时,不得在 SoD 限制名称中包含以下字符: 

< > , ; \ " +  # = / | & *

您可以用所支持的任意语言将其本地化,方法是单击

此名称也可以在 Designer for Identity Manager 中的“SoD 编辑器”内提供。

SoD 限制说明

限制的说明。

您可以用所支持的任意语言将其本地化,方法是单击

此名称可以在 Designer for Identity Manager 中的“SoD 编辑器”内提供。

冲突角色

要定义限制的角色名称。角色定义了一组与一个或多个目标系统或应用程序相关的特权。

在修改操作的过程中,该字段是只读的。

冲突角色

冲突角色的名称。单击浏览从可用角色中查找现有角色。

在修改操作的过程中,该字段是只读的。

注:指定冲突的两个角色十分重要。 而指定冲突角色的顺序则无关紧要。

表 17-6 批准细节

字段

说明

必需批准

当用户对 SoD 限制请求异常时,如果要起动工作流程,请选择“是”。

注:如果该 SoD 异常来自于隐含指派,如通过组或容器成员资格,则选择“是”不会导致批准工作流程启动。SoD 异常始终得到授权,并同样登录。

如果用户可以对 SoD 限制请求异常且不需要任何批准,请选择。这种情况下,将始终批准该异常。

SoD 批准定义

显示用户请求 SoD 限制异常时执行的供应请求定义的只读名称。该值源自“角色配置”对象。仅当必需批准时才执行。

批准类型

显示以上所显示供应请求定义的处理类型的只读字段。该值源自“角色配置”对象。

使用默认批准者

如果在角色子系统中指定批准者,请选择

如果 SoD 批准任务应该指派给一个或多个用户,则选择用户。如果 SoD 批准任务应该指派给组,请选择。如果应将 SoD 批准任务指派给角色,请选择角色

要查找特定用户、组或角色,请使用部分 1.4.4, 常用用户操作中所述的“对象选择器”或“历史”按钮。

要更改批准者在列表中的顺序或删除批准者,请使用部分 1.4.4, 常用用户操作中所述的按钮。