How to, One Identity Active Roles - 如何彈性的調整 change workflow?

隨著企業的快速發展,AD管理員面臨一個問題: 他們需不眠不休的奮力支援業務需求及滿足稽核人員。每天面對成千上百的新增刪需求,加上授權控制權給不同的管理群組,異動前需要關鍵人員在流程中進行審核等等。

現在透過 One Identity Active Roles (ARS),即可輕鬆有效的保護 AD 和 AAD,解決安全議題並符合法規需求,以ARS自動化工具,便彌補AD和AAD原生工具的不足。

基於定義的管理策略和相關權限,ARS提供全面的特權帳戶管理,使您能夠使用最小權限來委派控制權,也可以OU為單位,賦予使用者或群組的管理權限有效提升IT人員的工作效率。

今天的透過委派管理權限的範例,來說明如何進行彈性的調整。

將PSD這個OU的帳號與群組管理權限,委由特定帳號sguser3,透過瀏覽器即可管理OU。

ARS內建workflow,當委派使用者或群組異動權限給特定帳號時,我們同時可以限定該異動必須先通過審核程序(主管,人資或是IT),始能生效。同時也保留彈性。

建立資料異動的 change workflow

透過瀏覽器,sguser3修改了testuser1的電話號碼,但是必須先經過審核後才會異動。

依公司規範,定義必須的審核層級。


更進一步,我們可以設定白名單與黑名單。
1. 正向表列 – 限定當特定帳號或群組進行異動時,才需要審核流程。(使用 Initiator Condition)
正向表列
2. 負向表列 – 可以將特定名稱的帳戶跳過審核流程。(使用Filtering Condition)

排除清單
將sguser3設定為排除名單

將sguser3設定為排除名單



透過第二種負向表列的方式,我們將PSD OU的委派管理員sguser3,在workflow中設定為排除名單之後,再試著修改testuser1 的電話號碼,就不需要跑簽核流程了。

修改電話號碼

無須審核即可異動。


相關文件:  
如果您需要更進一步的資訊, 請與我們的服務團隊接洽,聯絡方式請參考倍力資訊官網。 

留言

這個網誌中的熱門文章

MSSQL 瘦身 : 壓縮資料庫

InTrust 自動幫您蒐集 AD 帳號的登入/登出紀錄,長時間保存並保護

[SAP] 什麼是SAP? R/3 and S/4 是什麼意思? 差別在哪? (勿轉臉書)