17.4 管理權限分散條件約束

Identity Manager 使用者介面的「角色」索引標籤上的「管理權限分散」動作可讓您執行下列操作:

SoD 條件約束就是讓同一層級的兩個角色互為獨佔的規則。如果某個使用者在一個角色中,他或她就不能在另一個角色中,除非該條件約束允許有例外。您可以定義是一律允許條件約束的例外還是僅透過核准流程來允許例外。

頁面存取 角色管理員或安全官可以存取「管理權限分散」頁面。安全官需要擁有對 Identity Vault 中 SoDDef 容器的瀏覽權限,但不需要對角色的瀏覽權限。

17.4.1 建立新的權限分散條件約束

  1. 在「角色管理」動作清單中按一下「管理權限分散」。

  2. 按一下「新增」

  3. 導覽到「新權限分散條件約束詳細資料」。如需關於填寫各欄位的詳細資訊,請參閱表 17-5

  4. 導覽至「核准詳細資料」區段。如需關於填寫各欄位的詳細資訊,請參閱表 17-6

  5. 按一下「儲存」以永久儲存您的變更。

17.4.2 修改現有的 SoD 條件約束

  1. 在「角色管理」動作群組中按一下「管理權限分散」。

  2. 若要檢視或修改現有的 SoD 條件約束,請使用「物件選擇器」或「顯示歷程」工具來選取條件約束。如需使用「物件選擇器」和「顯示歷程」工具的詳細資訊,請參閱使用物件選擇器按鈕進行搜尋

  3. 從清單中選取所需的 SoD。查閱頁面將會關閉,所選 SoD 的「權限分散條件約束詳細資料」和「核准詳細資料」隨即顯示。

  4. 如需關於填寫各欄位的資訊,請參閱表 17-5, 權限分散條件約束詳細資料表 17-6, 核准詳細資料

  5. 按一下「儲存」以永久儲存您的變更。

17.4.3 SoD 條件約束內容參考

表 17-5 權限分散條件約束詳細資料

欄位

描述

SoD 條件約束名稱

條件約束的名稱。當使用者申請條件約束例外時,它會顯示在報告中。您可以按一下 ,將其當地語系化為任何支援的語言。

「Identity Manager 適用的 Designer」的「SoD 編輯器」中也可能會提供此名稱。

SoD 條件約束描述

條件約束的描述。

您可以按一下 ,將其當地語系化為任何支援的語言。

「Identity Manager 適用的 Designer」的「SoD 編輯器」中可能會提供此名稱。

衝突的角色

您要為其定義條件約束之角色的名稱。角色定義了與一或多個目標系統或應用程式相關的一組權限。

在執行修改操作期間,此欄位是唯讀的。

衝突的角色

發生衝突的角色的名稱。按一下「瀏覽」可從可用角色中找出現有的角色。

在執行修改操作期間,此欄位是唯讀的。

附註:指定兩個相互衝突的角色非常重要。指定相互衝突角色的順序並無關緊要。

表 17-6 核准詳細資料

欄位

描述

需要核准

如果您希望在使用者申請 SoD 條件約束例外時啟動工作流程,則選取「是」。

附註:如果 SoD 例外是因隱含指定引起 (如透過群組或容器成員資格進行指定),選擇「是」不會啟動核准工作流程。此類 SoD 例外將一律接受,也將如此進行記錄。

如果使用者可申請 SoD 條件約束的例外而無需核准,則選取「」。在這種情況下,例外將一律獲得核准。

SoD 核准定義

顯示在使用者申請 SoD 條件約束例外時執行之提供申請定義的唯讀名稱。該值衍生自「角色組態」物件。僅當「需要核准」為「」時,才會執行該定義。

核准類型

唯讀欄位,顯示上文所述之提供申請定義的處理類型。該值衍生自「角色組態」物件。

使用預設的核准人

如果「角色子系統」中指定了核准人,則選取「」。

如果 SoD 核准任務應指定給一或多個使用者,則選取「使用者」。如果 SoD 核准任務應指定給一個群組,則選取「群組」。

若要找出特定使用者或群組,請使用「物件選擇器」或「歷程」按鈕,如節 1.4.4, 通用使用者動作中所述。

若要變更清單中核准人的順序,或者刪除核准人,請使用節 1.4.4, 通用使用者動作中所述的按鈕。