Czy nie byłoby wspaniale myśleć o uprawnieniach w sposób prewencyjny i przeciwdziałać konfliktom SoD, zanim stanie się coś niepokojącego jak użycie krytycznej transakcji przez użytkownika działającego na szkodę organizacji? Jak nie dopuścić do konfliktu na samym początku „łańcucha” uprawnień?
SAST User Access Management pozwala na implementację takiego modelu workflow, który umożliwia już na etapie wnioskowania weryfikację konfliktu SoD. W ten sposób zaoszczędza się pracy administratorom uprawnień czy zespołom autoryzacyjnym przy wykonywaniu ręcznych symulacyjnych kontroli SoD.
Po wypełnieniu pola z treścią wniosku i nazwy użytkownika, który wnioskuje o dostęp, na tym samym ekranie należy wejść w wyszukiwarkę ról, gdyż wnioskujemy automatycznie o rolę (zawierającą pożądaną transakcję), a nie transakcję celem skrócenia obiegu. Użytkownik wnioskujący ma następujące opcje wyboru roli:
• Może wnioskować o konkretną rolę jeśli zna jej nazwę (Role Name)
• Może wnioskować o rolę po nazwie transakcji (Tcode in Role)
• Może wnioskować o rolę przypisaną do innego konkretnego pracownika - może być przydatne w momencie gdy np. użytkowniczka chce zawnioskować o rolę, którą ma jej kolega, bo będzie go zastępować podczas urlopu? (Roles from user)
• Może wnioskować o rolę z wcześniej zdefiniowanego stanowiska (Workplaces)
Po wybraniu odpowiedniej roli użytkownik może przesłać wniosek do akceptacji przełożonego lub właściciela roli (istnieje również możliwość dodania odbiorcy dodatkowego w postaci Zespołu IT, który filtruje wnioski przed dostarczeniem ich do Akceptantów). Przed wysłaniem nastąpi jednak sprawdzenie konfliktów SoD w relacji do aktualnie przypisanych uprawnień oraz nowo wybranej roli przez wnioskodawcę. W przypadku wystąpienia konfliktu pojawi się komunikat ostrzegający o wykryciu konfliktu. W takim momencie wnioskodawca ma możliwość rezygnacji z dalszego wnioskowania, czyli przesyłania do akceptacji, jednak może również wysłać wniosek mimo konfliktu SoD, pozostawiając decyzję przełożonemu, właścicielowi roli lub oficerowi SoD.
2. Teraz proszę przyjrzeć się, w jakiej formie wniosek wyświetla się u Akceptantów oraz jak zmienia się status wniosku:
3. Po otrzymaniu akceptacji wniosek trafia do tzw. Implementatora (czyli Administratora Uprawnień), który może za pomocą jednego kliknięcia z konsoli SAST dodać wnioskowaną rolę do konta użytkownika:
Jesteście ciekawi jak wyglądają w narzędziu SAST User Access Management inne procesy takie jak stworzenie, usunięcie czy blokowanie użytkownika lub procesy związane z zarządzaniem rolami?
Zapraszamy do kontaktu, z chęcią zaprezentujemy pełne możliwości narzędzia.
Bernadeta Szwarc: bernadeta.szwarc@lukardi.com/pl
Tomasz Jurgielewicz: tomasz.jurgielewicz@lukardi.com/pl
WARTO PRZECZYTAĆ RÓWNIEŻ: