Esistono implementazioni (come Active Directory) che hanno applicato la separazione delle funzioni alla creazione dell'account utente, il che richiederebbe l'attività di creazione e approvazione dell'account utente da parte di due utenti diversi?
Ad esempio, se un amministratore con i privilegi necessari tenta di creare un account utente, l'amministratore non sarebbe in grado di procedere finché l'altro utente non lo ha approvato sul sistema.
In Active Directory questo può essere fatto con l'aiuto di soluzioni di terze parti in grado di fornire un flusso di lavoro basato sull'approvazione. Ecco la nostra soluzione che ti permette di farlo (è una soluzione che forniamo che illustra l'approccio)
L'operazione può essere inviata per l'approvazione solo se sono soddisfatte determinate condizioni (ad esempio se l'iniziatore non è un membro del gruppo di personale IT).
Molti strumenti IAM (Identity and Access Management) di terze parti offrono esattamente ciò che stai cercando e possono collegarsi a qualsiasi archivio di identità che stai utilizzando (AD, altri server LDAP, RADIUS, DB SQL, AWAM IAM, ecc.) , ma non sono a conoscenza di un negozio di identità che offre questa funzionalità intrinsecamente.
Come alcuni esempi puoi guardare OIM ( link ) o ForgeRock ( link ) ma è anche del tutto possibile far crescere a casa una soluzione per questo, e sono sicuro che ci sono alcuni altri concorrenti nel mercato IAM, questo non è un sostegno per nessuno di questi prodotti, sono solo quelli che conosco in cima alla mia testa.
Leggi altre domande sui tag access-control active-directory user-management