Identity Manager 使用者介面的「
」索引標籤上的「 」動作可讓您執行下列操作:定義權限分散 (SoD) 條件約束 (或規則)。
定義處理條件約束例外申請的方式。
SoD 條件約束就是讓同一層級的兩個角色互為獨佔的規則。如果某個使用者在一個角色中,他或她就不能在另一個角色中,除非該條件約束允許有例外。您可以定義是一律允許條件約束的例外還是僅透過核准流程來允許例外。
頁面存取 角色管理員或安全官可以存取「管理權限分散」頁面。安全官需要擁有對 Identity Vault 中 SoDDef 容器的瀏覽權限,但不需要對角色的瀏覽權限。
在「
」動作群組中按一下「 」。若要檢視或修改現有的 SoD 條件約束,請使用「使用物件選擇器按鈕進行搜尋。
」或「 」工具來選取條件約束。如需使用「 」和「 」工具的詳細資訊,請參閱從清單中選取所需的 SoD。查閱頁面將會關閉,所選 SoD 的「
」和「 」隨即顯示。如需關於填寫各欄位的資訊,請參閱表 17-5, 權限分散條件約束詳細資料和表 17-6, 核准詳細資料。
按一下「
」以永久儲存您的變更。表 17-5 權限分散條件約束詳細資料
附註:指定兩個相互衝突的角色非常重要。指定相互衝突角色的順序並無關緊要。
表 17-6 核准詳細資料
欄位 |
描述 |
---|---|
|
如果您希望在使用者申請 SoD 條件約束例外時啟動工作流程,則選取「是」。 附註:如果 SoD 例外是因隱含指定引起 (如透過群組或容器成員資格進行指定),選擇「是」不會啟動核准工作流程。此類 SoD 例外將一律接受,也將如此進行記錄。 如果使用者可申請 SoD 條件約束的例外而無需核准,則選取「 」。在這種情況下,例外將一律獲得核准。 |
|
顯示在使用者申請 SoD 條件約束例外時執行之提供申請定義的唯讀名稱。該值衍生自「角色組態」物件。僅當「 」為「 」時,才會執行該定義。 |
|
唯讀欄位,顯示上文所述之提供申請定義的處理類型。該值衍生自「角色組態」物件。 |
|
如果「角色子系統」中指定了核准人,則選取「 」。如果 SoD 核准任務應指定給一或多個使用者,則選取「 」。如果 SoD 核准任務應指定給一個群組,則選取「 」。若要找出特定使用者或群組,請使用「物件選擇器」或「歷程」按鈕,如節 1.4.4, 通用使用者動作中所述。 若要變更清單中核准人的順序,或者刪除核准人,請使用節 1.4.4, 通用使用者動作中所述的按鈕。 |