1.3 角色和证明
用户通常根据其在组织中的角色来请求对资源的访问权。例如,某个法律公司的律师和该公司的律师助理可能需要访问不同的资源组。
Identity Manager 允许您根据其在组织中的角色来供应用户。您可根据组织需求定义角色并进行指派。将用户指派给角色后,Identity Manager 可向该用户供应与该角色关联的资源的访问权。如果将用户指派给多个角色,则该用户会收到与所有角色关联的资源的访问权,如下图所示:
图 1-7 基于角色的资源供应
您可以将用户自动添加到角色中,以作为组织中所发生的事件的结果(例如,将职称为律师的新用户添加到您的 SAP HR 数据库)。如果将某个用户添加到角色需要批准,则可建立工作流程以将角色请求路由到相应批准者。也可手动将用户指派给角色。
在某些情况下,某些角色可能由于冲突而不应指派给同一个人。Identity Manager 提供了“责任分离”功能,使用该功能可避免将用户指派给冲突角色,除非组织中有人将该冲突作为例外。
由于角色指派确定了用户对组织内资源的访问权,因此确保正确的指派非常重要。错误的指派可能会危及与公司和政府规定的一致性。Identity Manager 可通过证明流程帮助您验证角色指派的正确性。使用此流程,贵组织中的负责人可认证与角色关联的数据:
-
用户简介证明: 所选用户证明其自身的简介信息(姓、名、职位、部门、电子邮件等等)并纠正所有错误信息。准确的简介信息对于正确的角色指派非常重要。
-
责任分离违反证明: 负责人审阅“责任分离”违反报告并证明报告的准确性。该报告列出了允许将用户指派给冲突角色的所有例外。
-
角色指派证明: 负责人审阅列出了所选角色和指派给每个角色的用户、组以及角色的报告。然后负责人必须证明该信息的准确性。
-
用户指派证明: 负责人审阅列出了所选用户以及将其指派给的角色的报告。然后负责人必须证明该信息的准确性。
这些证明报告主要是为了帮助您确保角色指派准确,并确保存在允许冲突角色例外的有效原因。