隨著企業的快速發展,AD管理員面臨一個問題: 他們需不眠不休的奮力支援業務需求及滿足稽核人員。每天面對成千上百的新增刪需求,加上授權控制權給不同的管理群組,異動前需要關鍵人員在流程中進行審核等等。
現在透過 One Identity Active Roles (ARS),即可輕鬆有效的保護 AD 和 AAD,解決安全議題並符合法規需求,以ARS自動化工具,便彌補AD和AAD原生工具的不足。
基於定義的管理策略和相關權限,ARS提供全面的特權帳戶管理,使您能夠使用最小權限來委派控制權,也可以OU為單位,賦予使用者或群組的管理權限,有效提升IT人員的工作效率。
今天的透過委派管理權限的範例,來說明如何進行彈性的調整。
 |
| 將PSD這個OU的帳號與群組管理權限,委由特定帳號sguser3,透過瀏覽器即可管理OU。 |
ARS內建workflow,當委派使用者或群組異動權限給特定帳號時,我們同時可以限定該異動必須先通過審核程序(主管,人資或是IT),始能生效。同時也保留彈性。
 |
| 建立資料異動的 change workflow |
 |
| 透過瀏覽器,sguser3修改了testuser1的電話號碼,但是必須先經過審核後才會異動。 |
 |
| 依公司規範,定義必須的審核層級。 |
更進一步,我們可以設定白名單與黑名單。
1. 正向表列 – 限定當特定帳號或群組進行異動時,才需要審核流程。(使用 Initiator Condition)
 |
| 正向表列 |
2. 負向表列 – 可以將特定名稱的帳戶跳過審核流程。(使用Filtering Condition)
 |
| 排除清單 |
 |
| 將sguser3設定為排除名單 |
 |
| 將sguser3設定為排除名單 |
透過第二種負向表列的方式,我們將PSD OU的委派管理員sguser3,在workflow中設定為排除名單之後,再試著修改testuser1 的電話號碼,就不需要跑簽核流程了。
 |
| 修改電話號碼 |
 |
| 無須審核即可異動。 |
沒有留言:
張貼留言