身份和访问管理第 1 部分中的权限配置文件和分组

xyz1100

在考虑目标和利益时，在开始具体甚至持续的权利概况审查项目之前，有必要了解主要动机： 生成粒度较小的新配置文件，将交易和属性的技术细节隐藏在包含更面向业务流程的描述和标题的层下； 将权利分组到与在人员来源（无论是人力资源还是第三方数据库）中正式注册的职能或职位相关联的个人资料中； 审查的目的是重新组织概况，以反映组织结构的变化； 通过减少权限重复、重新分类经理和业务规则来减少配置文件的数量。 标准配置文件和业务规则 解释配置文件的一种方法是将其定义为：链接到标题和描述的一组权利，以便可以识别该权利配置文件的持有者可以执行的操作。 为了满足责任和可追溯性要求，每个配置文件必须被定义为一个负责人，他有权酌情批准向人员授予配置文件。 当配置文件与业务规则一起用于自动化流程时，它被称为标准。

它们通常定义为每个系统最少 01 到一组实用的 04 个“标准”配置文件，并涵盖以下任务： 定义负责资料的人员； 将使用的业务规则的定义： 雇用时初次让步的信息和标准； 基于注册数据的变更信息和标准； 基于注册数据的阻止信息和标准； 基于注册数据的审查信息和标准； 定义默认配置文件 如前所述，我们的经验告诉我们，大约 4 个（每个系统最多 6 个配置文件）足以实现减少手动任务的目标，通常这个 特殊数据 配置文件数量可以减少大约 70 或 80% 的手动任务。当与密码重置自助服务门户和 Windows 桌面按钮集成时，手动任务可减少 90% 以上。 然后让我们回顾一下达到标准配置文件的活动： 请记住，目标是授予最常见的权利，而不是进行完整的审查。创建默认配置文件是一项尽力而为的活动，会自动生成一组默认配置文件。其他权利也分为配置文件，将根据请求和批准流程授予； 分析系统中授予的权限，使用初始加载的信息，搜索最常用的权限并对常见权限进行分组。



对于此分析，可以使用GIA功能、外部程序或电子表格等其他工具； 寻找代表所涉及领域的两到三个用户，并将他们用作创建第一个配置文件的初始权利基础，此时作为建议； 采访相关的 IT、安全和区域经理，以验证建议的标准配置文件。在面试中，重要的是要准备好解释项目的范围和此阶段的好处。特别是，请准备好告知，对所有权利和资料的全面审查不是项目此阶段的一部分； 审查个人资料中是否存在利益冲突或冲突交易。 Perfs 的审查和创建 – RBAC 现在是时候处理访问配置文件项目了，或者更具体地说是业务配置文件项目，或多或少与 RBAC 模型耦合。 需要强调的是，与身份管理本身的实施不同，涉及配置文件和访问权限的项目更依赖于业务领域。 此外，涉及权利和访问的项目，特别是在寻求与业务保持一致时，如果可以分为具有可衡量目标的阶段，效果会更好。 初步鉴定 下一步是确定哪个系统将成为项目的范围。我们建议，至少在开始时，一次在一个系统上工作。必须根据规划阶段分析的优先级来选择系统。 下面是一个示例表，其中考虑了收集的信息和建议的权重：系处理量取决于。