1.3 角色與證明
使用者通常會根據自己在組織裡所扮演的角色來要求存取資源。例如,法律事務所的律師需要存取的資源,可能就與助理不一樣。
Identity Manager 可讓您根據使用者在組織裡的角色來提供使用者。您應該根據組織的需求來定義角色和進行指定。指定角色給使用者時,Identity Manager 就會將此角色關聯的資源存取權提供給使用者。如果為一位使用者指定多個角色,該使用者就會獲得這些角色相關的資源存取權限,如下圖所示︰
圖 1-7 資源的角色佈建
您可以透過組織中發生的事件讓使用者自動新增至角色中 (例如,職稱為「代理人」的新使用者新增至 SAP HR 資料庫中)。如果需要核准才能將使用者新增至某個角色,您可以建立工作流程,將角色申請呈報給適當的核准人。您也可以手動指定使用者的角色。
在某些情況下,不應該將某些角色指定給同一人,因為這些角色會發生衝突。Identity Manager 提供「職務分離」功能,可避免指定衝突的角色給使用者,除非組織中有人對衝突設定例外條件。
因為角色指定可決定使用者在組織內對資源的存取,確保正確指定相當重要。不正確的指定會造成違背公司與政府法規的規定。Identity Manager 可透過證明程序,協助您驗證角色指定的正確性。組織裡的負責人員可以透過這個程序來證明與角色關聯的資料:
-
使用者設定檔證明: 選定的使用者證明自己的設定檔資訊 (名字、姓氏、職稱、部門、電子郵件等等),並更正任何不正確的資訊。正確的角色指定需要有正確的設定檔資訊。
-
「職務分離」違規證明: 負責人員檢閱「職務分離」違規報告,並證明報告的正確性。報告中列出允許指定衝突角色給使用者的任何例外。
-
角色指定證明: 負責人員檢閱的報告中列出選定的角色及指定到每個角色的使用者、群組及角色。然後,負責人員必須證明資訊的正確性。
-
使用者指定證明: 負責人員檢閱一份列出選定的使用者和對這些使用者所指定角色的報告。然後,負責人員必須證明資訊的正確性。
這些證明報告主要是協助您確保角色指定正確,以及允許衝突角色的例外有明確的理由。