ユーザーアカウント作成の職務の分離
ユーザーアカウントの作成タスクと承認タスクを2人の異なるユーザーが実行する必要があるユーザーアカウントの作成に職務の分離を適用した実装(Active Directoryなど)はありますか?
たとえば、必要な特権を持つ管理者がユーザーアカウントを作成しようとした場合、他のユーザーがシステムで承認するまで、管理者は続行できません。
Active Directoryでは、承認ベースのワークフローを提供できるサードパーティソリューションを利用してこれを行うことができます。これが それを可能にする私たちのソリューションです (それは私たちが提供するソリューションであり、アプローチを示しています)
操作は、特定の条件が満たされた場合にのみ承認のために送信できます(たとえば、開始者がITスタッフグループのメンバーでない場合)。
多くのサードパーティ製IAM(Identity and Access Management)ツールは、探しているものを正確に提供し、使用しているIDストア(AD、他のLDAPサーバー、RADIUS、SQL DB、AWS IAMなど)にフックできますが、私はこの機能を本質的に提供するIDストアを認識していません。
いくつかの例として、OIM( https://www.Oracle.com/technetwork/middleware/id-mgmt/overview/index.html )またはForgeRock( https:/ /www.forgerock.com/platform/identity-management )ですが、このためのソリューションを自社で開発することも完全に可能であり、IAM市場には他の競合他社がいると確信しています。これは推奨ではありませんこれらの製品のどちらについても、私が頭の中で知っているものにすぎません。