Règles de répartition des tâches
Une règle de répartition des tâches est un conteneur logique de règles de séparation qui définissent des relations mutuellement exclusives entre les rôles. Les règles de répartition des tâches sont définies par une ou plusieurs règles métier. Elles excluent des utilisateurs de l'appartenance à plusieurs rôles pouvant présenter un conflit métier.
Une règle de répartition des tâches emploie des règles métier pour définir les relations entre les rôles. Elle regroupe les règles métier pour faciliter leur gestion. Vous pouvez par exemple attribuer un ensemble d'administrateurs à une règle et les rendre ainsi responsables du suivi des violations d'un ensemble de règles.
Propriétaires de règles
- Exempter les utilisateurs ou révoquer les exemptions de n'importe quelle violation de règle qui se produit
- Jouer un rôle principal dans les éléments de contrôle d'accès ACI (Access Control Items) du système
Approbation et révocation des exemptions
Les propriétaires de règles peuvent approuver et révoquer les exemptions par défaut mais ils ne doivent pas forcément posséder cette capacité. Vous pouvez configurer des rôles ou des utilisateurs pour leur attribuer des fonctions de contrôle d'accès sur les règles de répartition des tâches grâce aux éléments de contrôle d'accès. Ces éléments permettent aux propriétaires de règles d'effectuer des tâches telles que la modification ou le suivi de violations. Vous pouvez également configurer le flux de travaux d'approbation afin qu'il utilise des participants autres que le propriétaire de règle.
Règles de répartition des tâches
Une stratégie de répartition des tâches peut comprendre plusieurs règles. Pour chaque règle, plusieurs rôles doivent être répertoriés. Le nombre de rôles auxquels un utilisateur peut appartenir dépend du nombre de rôles que vous autorisez dans la règle. Le nombre de rôles autorisés à coexister doit être égal au nombre total de rôles de la liste moins un. Par exemple, vous pouvez créer une règle qui exclut la procédure d'approvisionnement et la procédure d'approbation de la commande. Le nombre de rôles autorisé dans la règle doit correspondre à 1, ce qui signifie qu'un utilisateur ne peut avoir qu'un seul rôle. Si vous ajoutez des rôles supplémentaires, tels que la facturation et le financement, vous pouvez autoriser jusqu'à trois rôles. Chaque utilisateur peut avoir trois rôles différents avec les fonctionnalités système définies par ces derniers.
Les rôles autorisés définis sur un nombre supérieur à 1 servent généralement à empêcher une personne d'exercer un contrôle complet sur un processus. Le processus est décrit par un ensemble de rôles. Par exemple, une règle stipulant qu'un utilisateur ne peut pas exercer un contrôle complet sur le processus d'achat peut être définie par trois rôles : un rôle d'acheteur, un rôle de valideur et un rôle de responsable des commandes. Dans cet exemple, la règle comporte deux rôles autorisés. Un utilisateur peut être membre de deux de ces rôles mais ne peut pas être membre des trois rôles.
Règles activées et désactivées
Une règle activée crée des approbations d'exemptions et avertit les utilisateurs avant qu'ils ne soumettent des modifications d'appartenance à des rôles non conformes à une règle de répartition des tâches.
Une règle désactivée permet toujours d'effectuer le suivi des violations mais elle ne génère pas d'approbations et n'avertit pas les utilisateurs. Les violations des règles désactivées ne figurent pas dans les rapports d'audit. L'utilisation d'une règle désactivée permet aux administrateurs de sécurité d'effectuer un suivi efficace des violations qui surviennent avant qu'une règle ne soit active dans le système.
Hiérarchie et règles sur les rôles
Au sein d'une même règle, aucun rôle ne peut être ascendant ou descendant direct d'un autre dans la hiérarchie des rôles. Par exemple, aucune règle ne peut contenir à la fois une organisation HR et un département HR x si le département HR x est un rôle enfant de l'organisation HR.