COMPLIANCE OF ACCESS PERMISSIONS IN IDENTITY AND ACCESS MANAGEMENT (IAM) SYSTEMS
Disclosed herein are system, method, and computer program product embodiments for generating a list of deny policy statements associated with an allow policy statement with respect to the effective access permissions for a principal in an identity and access management system. The operations can inc...
Gespeichert in:
| Hauptverfasser: | , , , , , , , , , , , , |
|---|---|
| Format: | Patent |
| Sprache: | eng ; fre |
| Online-Zugang: | Volltext bestellen |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Zusammenfassung: | Disclosed herein are system, method, and computer program product embodiments for generating a list of deny policy statements associated with an allow policy statement with respect to the effective access permissions for a principal in an identity and access management system. The operations can include identifying a first policy statement that specifies members of a first identity set including the principal are allowed to access a first system resource set. The operations further include identifying a second policy statement specifying that members of a second identity set are denied access to a second system resource set. Moreover, the operations include determining that the second policy statement overlaps with the first policy statement with respect to the effective access permissions for the principal, and placing the second policy statement into the list of deny policy statements associated with an allow policy statement.
L'invention concerne des modes de réalisation d'un système, d'un procédé et de produit de programme informatique pour générer une liste de déclarations de politique de refus associées à une déclaration de politique d'autorisation par rapport aux autorisations d'accès efficaces pour un responsable dans un système de gestion d'identité et d'accès. Les opérations peuvent comprendre l'identification d'une première déclaration de politique spécifiant que l'accès à un premier ensemble de ressources de système est autorisé pour des membres d'un premier ensemble d'identités comprenant le responsable. Les opérations comprennent en outre l'identification d'une deuxième déclaration de politique spécifiant que l'accès à un deuxième ensemble de ressources de système est interdit aux membres d'un deuxième ensemble d'identités. De plus, les opérations consistent à déterminer que la deuxième déclaration de politique chevauche la première déclaration de politique par rapport aux autorisations d'accès effectives pour le responsable, et à placer la deuxième déclaration de politique dans la liste d'instructions de politique de refus associées à une déclaration de politique d'autorisation. |
|---|