¿Existen implementaciones (como Active Directory) que hayan aplicado la separación de tareas a la creación de cuentas de usuario, lo que requeriría que la tarea de creación de cuenta de usuario y la tarea de aprobación sean realizadas por dos usuarios diferentes?
Por ejemplo, si un administrador con los privilegios necesarios intenta crear una cuenta de usuario, el administrador no podrá continuar hasta que el otro usuario la haya aprobado en el sistema.
En Active Directory, esto se puede hacer con la ayuda de soluciones de terceros que pueden proporcionar un flujo de trabajo basado en la aprobación. Aquí está nuestra solución que le permite hacer eso (es una solución que ofrecemos que ilustra el enfoque)
La operación puede enviarse para su aprobación solo si se cumplen ciertas condiciones (por ejemplo, si el iniciador no es miembro del grupo de personal de TI).
Muchas herramientas IAM (Identity and Access Management) de terceros ofrecen exactamente lo que está buscando y pueden conectarse al almacén de identidades que esté utilizando (AD, otro servidor LDAP, RADIUS, SQL DB, AWS IAM, etc.) , pero no conozco un almacén de identidades que ofrezca esta funcionalidad de forma inherente.
Como ejemplo, puede ver OIM ( enlace ) o ForgeRock ( enlace ) pero también es completamente posible desarrollar una solución para esto, y estoy seguro de que hay algunos otros competidores en el mercado de IAM, esto no es un respaldo para ninguno de esos productos, son solo algunos que conozco desde el principio.
Lea otras preguntas en las etiquetas user-management access-control active-directory