Навигатор по разделу:
1. Общие сведения.
Разделение полномочий (SoD) — это превентивный механизм контроля, направленный на предотвращение концентрации важных прав доступа у одного субъекта. В Avanpost IDM управление SoD осуществляется через три ключевых компонента: политики, разрешения и конфликты. Доступ к разделу "SoD" осуществляется через меню "Приложение" ⟶ "Администрирование IDM" ⟶ "SoD" ⟶ "Политики" / "Конфликты" / "Разрешения".
Рисунок — Путь к SoD
2. SoD политики
При переходе в раздел SoD → Политики открывается список доступных политик. Здесь можно создавать, редактировать и удалять политики.
Рисунок — Раздел "SoD политики"
2.1. Создание политики
Для создания политики необходимо нажать кнопку "Создать новую политику". Откроется форма создания новой политики. В открывшейся форме необходимо задать название и описание политики, а после нажать 
. Созданная политика отобразится в списке доступных политик.
Рисунок — Создание SoD политики
2.2. Редактирование и настройка политик
Редактирование политики доступно после выбора нужной политики из списка. При нажатии на политику откроется карточка политики, содержащая три вкладки: "Атрибуты политики", Политика" и "Объекты".
На вкладке "Атрибуты политики" можно отредактировать основные параметры политики. Нажать кнопку "Редактировать", внести изменения в необходимые поля:
Таблица — Редактирование и настройка на вкладке "Атрибуты политики"
| Название | Описание |
|---|---|
| Название | Задать название политики |
| Описание | Задать описание политики |
После внесения изменений нажать кнопку "Сохранить".
На вкладке "Политика" настраиваются цели и правила применения политики.
Таблица — Редактирование и настройка на вкладке "Политика"
| Название | Описание |
|---|---|
| Цели | Для настройки правила (целей) необходимо:
|
| Применение правил | Выбрать из списка:
|
| Правила | Частные правила настраиваются для выполнения заданной фильтрации. Для настройки частного правила необходимо:
|
После редактирования и настройки нажать кнопку "Сохранить".
На вкладке "Объекты" доступен выбор ролей и\или прав, для которых будет действовать настроенная политика.
Таблица — Редактирование и настройка на вкладке "Объекты"
| Название | Описание |
|---|---|
| Добавить роли | Выбрать из списка роли, для которых будет действовать настроенная политика, нажав кнопку |
| Добавить права | Выбрать из списка права, для которых будет действовать настроенная политика, нажав кнопку |
Таблица – Описание атрибутов
Атрибут | Описание |
|---|---|
| Наименование подразделения | Имя подразделения |
| Идентификатор родительского подразделения | ID родительского подразделения |
| Идентификатор менеджерского подразделения | ID менеджерского подразделения |
Путь к расположению подразделения —идентификаторы подразделения начиная с корневого | ID родительского подразделения через точку в формате "A.B.C.D" |
| Путь к подразделению | ID родительского подразделения через точку + ID текущего подразделения |
| Идентификатор подразделения во внешнем кадровом источнике | ID подразделения из внешнего кадрового источника, интегрируемого с Системой |
| Атрибут подразделения | Свойство подразделения, присвоенное в административном интерфейсе Системы |
| Табельный номер сотрудника | Уникальный ID сотрудника, используемый для отслеживания и управления трудовой деятельностью |
| Имя сотрудника | Имя сотрудника |
| Фамилия сотрудника | Фамилия сотрудника |
| Отчество сотрудника | Отчество сотрудника |
| Полное имя сотрудника | Фамилия, имя, отчество сотрудника |
| Идентификатор сотрудника во внешнем кадровом источнике | ID сотрудника из внешнего кадрового источника, интегрируемого с Системой |
| Идентификатор личности сотрудника (для совместителей) | Идентификатор совмещения должностей одного сотрудника. Строка до 128 символов |
| Email сотрудника | Электронный адрес сотрудника |
| Дата рождения сотрудника | Дата рождения сотрудника |
| Идентификатор подразделения сотрудника | ID подразделения, к которому относится сотрудник |
| Идентификатор должности сотрудника | ID должности, которую занимает сотрудник |
| Путь к подразделению сотрудника | ID родительского подразделения через точку + ID текущего подразделения сотрудника |
| Статус сотрудника | Текущее положение сотрудника в трудовой организации. Доступные статусы:
|
| Атрибут сотрудника | Любой атрибут сотрудника, настроенный для отображения в карточке, например, ИНН, Город, Email |
| Наименование должности | Название занимаемой должности |
| Идентификатор должности во внешнем кадровом источнике | ID должности из внешнего кадрового источника, интегрируемого с Системой |
| Наименование юнита | Имя юнита |
| Тип юнита | Тип юнита, например, Компания, Направление, Проект. |
| Идентификатор каталога роли | Идентификатор каталога роли |
| Наименование роли | Имя роли |
| Описание роли | Описание роли |
| Атрибут роли | Свойство роли, присвоенное в административном интерфейсе Системы |
| Наименование права | Имя права |
| Описание права | Описание права |
2.3. Удаление политики
Чтобы удалить политику, нажать 
напротив необходимой политики и выбрать пункт "Удалить".
3. SoD разрешения
При переходе в раздел SoD → Разрешения открывается список доступных политик. Здесь можно создавать, редактировать и удалять разрешения.
3.1. Создание SoD разрешения
Для создания разрешения необходимо нажать кнопку "Создать новое разрешение". Откроется форма создания нового разрешения.
В открывшейся форме необходимо:
Таблица – Создание разрешения
| Поле | Описание |
| Наименование разрешения | Задать название разрешения |
| Описание разрешения | Задать описание разрешения |
| Политика | Выбрать SoD политику, на которую будет выдано разрешение |
| Владелец | Субъект авторизации (сотрудник или юнит), на которого будет выдано разрешение |
| Время действия | Выбрать из списка:
Для постоянного разрешение указывается только дата начала действия. Для временно разрешение дата начала и дата окончания действия разрешения |
После заполнения всех полей нажать . Созданное разрешения отобразится в списке.
3.2. Редактирование и настройка политик
Редактирование разрешения доступно после выбора нужного разрешения из списка. При нажатии на разрешение откроется карточка с информацией о разрешении. Нажать кнопку "Редактировать", внести изменения в необходимые поля:
Таблица – Создание разрешения
| Поле | Описание |
| Наименование разрешения | Изменить название разрешения |
| Описание разрешения | Изменить описание разрешения |
| Политика | Выбрать SoD политику, на которую будет выдано разрешение |
| Владелец | Выбрать субъект авторизации (сотрудник или юнит), на которого будет выдано разрешение |
| Время действия | Выбрать из списка:
Для постоянного разрешение указывается только дата начала действия. Для временно разрешение дата начала и дата окончания действия разрешения |
После внесения изменений нажать кнопку "Обновить".
3.3. Удаление разрешения
Чтобы удалить разрешение, нажать напротив необходимого разрешения и выбрать пункт "Удалить".
4. SoD конфликты
При обнаружении конфликта полномочий будет создан соответствующий SoD конфликт. При переходе в раздел SoD → Конфликты открывается список конфликтов.
О каждом конфликте указана следующая информация:
Таблица – Информация о конфликтах
| Конфликт | Описание |
| Политика | Политика, по которой был создан конфликт |
| Объект | Объект политики, по которому был создан конфликт |
| Дата создания | Дата создания конфликта |
| Владелец | Субъект авторизации (сотрудник или юнит), по которому был создан конфликт |
| Состояние | Состояние конфликта:
|
5. Тестирование SoD
Для проверки функционала разделения полномочий выполните следующие шаги:
- Создать новую SoD политику. Указать название и описание политики.
- На вкладке Правила добавить частное правило со статусом Запретить. Настроить условие, например, по полному имени сотрудника.
- На вкладке Объекты добавить объект политики (например, роль).
- Назначить сотруднику роль.
- Перейти в раздел SoD конфликты и убедиться, что конфликт создан.