One Identity Manager – Skapa en SoD-regel

I detta avsnitt går vi igenom SoD som är förkortningen för Segregation of duties eller också Separation of duties. Detta innebär vanligen något av följande; uppdelning av ansvarsområden, separerade funktioner, åtskillnad i arbetsuppgifter. Detta kan därmed likställas med en princip som måste följas – att det ska behövas fler än en person för att slutföra en arbetsuppgift. I detta exempel kommer vi titta på två SAP-roller där den ena ger behörighet att begära ersättning för utgifter och den andra behörighet att godkänna utbetalningar. Vad vi vill åstadkomma är en styrning så dessa roller inte får vara tilldelade en användare samtidigt eftersom det skulle innebära en säkerhetsrisk. Vi kommer därmed att skapa upp en SoD-regel för detta.

Skapa en SoD-regel

    1. Öppna Manager. Öppna sedan ”Identity Audit” i vänstersektionen.
    2. Under ”Identity Audit” klickar du nu på ”Rules” och skapar en regel genom att klicka på plus-knappen.
    3. En regel kräver som minst ett namn och ett villkor. Vi konstruerar vår regel enligt nedan då vi anger namn (Rule), beskrivning (Description) och vi väljer även en Rule group som vi sätter till SAP (man kan skapa egen rule group via plus-knappen). Vidare behöver vi ange ett villkor (condition) och denna ska gälla för alla personer. Villkoret gäller sedan för om personen har en resurs av typen SAP R/3 och att subvillkoret till denna uppfyller ett specifikt Distinguished name *. Samt om personen har minst en av dessa resurser i subvillkoret tilldelad till sig. Vi klickar på plus-knappen för att lägga till villkoret för andra resursen. Den observante har även lagt märke till valet ”Exception approval allowed”, detta innebär att om man kryssar i rutan så kan man under ”Exception approver” tilldela en applikationsroll som används för att godkänna överträdelse av regeln. Personer tilldelade denna applikationsroll är berättigade att godkänna.
    4. Vi skapar ett liknande villkor för den andra resursen och det totala villkoret (condition) bör se ut enligt följande. Spara sen regeln. Detta innebär nu den ena SAP-rollen (ZS_BCBA_M..) som ger behörighet att begära ersättning för utgifter och den andra SAP-rollen (ZS_FFAB_M..) som ger behörighet att godkänna utbetalningar ej får vara tilldelade en användare samtidigt.
    5. För att kunna använda regeln måste denna aktiveras. Detta görs genom att i mittsektionen ”Tasks” välja ”Enable working copy”. Klicka ”Yes” i rutan ”Are you sure you want to activate the rule”. Gör samma för rutan ”Do you want to enable original rule”.
    6. Vi ska se följande ruta om regeln aktiverats.
    7. Om vi nu klickar på ”Rule violations” ser vi att det finns en regel som skapats med samma namn som vi angivit tidigare. Klicka fram regeln så kan man se hur många personer som uppfyller regeln – totalt en (1) regelöverträdelse. Beräkning sker via ett schemalagt jobb som går en gång om dagen.
    8. En chef kan i IT-shopen se motsvarande på startsidan under ”Efterlevnad”.

* Du kan ta fram Distinguished name för en SAP-roll genom att söka fram SAP-rollen i Managern och sedan högerklicka på objektet och välja ”Properties…”. Under flik ”Properties” kan du sedan hitta Distinguished name.

Publicerat av:

Erik Sjögren

Platform Lead One Identity | IAM/IGA-specialist erik.sjogren@anytrust.se +46(0) 76 162 17 55

Erik är utbildad högskoleingenjör inom datateknik. 2013 erbjöd Anytrust ett exjobb som verkade intressant, och det var då han fick upp ögonen för automation och digitalisering. Idag är han en del av tvärfunktionella team som tillsammans utvecklar tekniska lösningar samtidigt som vi är med i kundens agila transformation.
”Det bästa med Anytrust är bredden av kompetens som finns och möjligheten att få ta sig an nya projekt och utmaningar, vilket är en drivkraft för mig”