Les droits sur les systèmes connectés sont habituellement administrés pilote par pilote ; il suffit de créer et de modifier les stratégies de configuration des pilotes, telles que celles créées avec le Générateur de stratégies. Selon ce modèle distribué traditionnel, un administrateur différent contrôle souvent chaque pilote Identity Manager et chaque système connecté ; les stratégies d'entreprise qui déterminent si un utilisateur a le droit ou non d'accéder aux ressources de ce système sont « codées en dur » séparément dans les stratégies de configuration des pilotes de chaque système connecté.
Le modèle de droits basés sur le rôle est particulièrement adapté à un environnement dans lequel un seul administrateur, ou un petit nombre d'entre eux, est chargé du contrôle des stratégies de droit. Un tel administrateur doit connaître Identity Manager dans sa globalité, mais n'est pas obligé de maîtriser parfaitement les scripts DirXML, Identity Manager ou XSLT pour utiliser l'interface des droits basés sur le rôle.
Les stratégies de droits en fonction des rôles permettent d'accorder ou de révoquer automatiquement des ressources d'entreprise, si les critères définis sont remplis. Les droits peuvent être comparés à une feuille d'autorisation donnant accès à une ressource. Avec cette feuille d'autorisation, vous pouvez accéder à la ressource spécifiée. Sans elle, vous ne le pouvez pas. Par exemple, spécifiez que si l'utilisateur remplit les critères 1, 2 et 3, il devient, aux termes d'une stratégie de droits basés sur le rôle, membre du groupe H. En revanche, s'il remplit les critères 4 et 5, il devient membre du groupe I.
Le paramétrage pour la gestion des droits basés sur le rôle se fait en trois étapes :
Les droits basés sur le rôle s'appuient sur le pilote de service de droits (Entitlement.xml). Il s'agit d'un service de moteur qui contrôle si les utilisateurs sont membres d'une stratégie de droit. Si un utilisateur satisfait aux critères d'appartenance à un groupe dynamique de stratégies de droits ou est inclus de manière statique, le pilote de service de droits met à jour les informations dans l'attribut DirXML-EntitlementRef sur l'objet Utilisateur.
Pour les systèmes répertoriés à la Section 6.2.1, Pilotes Identity Manager dotés de préconfigurations prenant en charge les droits, vous pouvez activer les droits au moment de l'importation de la configuration du pilote Identity Manager. Identity Manager est fourni avec un certain nombre de pilotes dotés de préconfigurations contenant déjà des droits et des stratégies permettant de les implémenter. Le pilote est activé pour écouter les activités liées aux droits. Vous pouvez ensuite revoir les stratégies fournies. Pour appliquer les droits, ces stratégies vérifient l'attribut DirXML-EntitlementRef et accordent ou révoquent des droits.
Le pilote de service de droits met à jour l'attribut DirXML-EntitlementRef uniquement dans les cas suivants :
Les stratégies de droit permettent d'accorder des droits sur les systèmes connectés et dans le coffre-fort d'identité. Les droits disponibles sur les systèmes connectés sont les suivants :
Certaines des options qui peuvent être créées avec les droits figurent dans les configurations des pilotes dans lesquels les droits sont activés.
Un seul pilote de service de droits étant utilisé pour chaque ensemble de pilotes, une stratégie de droit ne peut gérer que les utilisateurs qui sont dans une réplique principale ou en lecture/écriture sur le serveur associé à cet ensemble de pilotes.
La fonctionnalité des stratégies de droits basés sur le rôle s'appuie sur Identity Manager. Pour administrer les systèmes connectés, vous devez donc d'abord installer les pilotes et les plugs-in Identity Manager avant de configurer correctement les pilotes.
Par ailleurs, pour éviter d'éventuels conflits entre les stratégies de droit attribuées et les configurations de pilotes Identity Manager, vous devez connaître vos stratégies d'entreprise et savoir comment elles sont administrées dans Identity Manager. Lorsqu'elles gèrent un attribut, les stratégies de droit Identity Manager et celles qui figurent dans une configuration de pilote ne doivent pas se chevaucher ni entrer en conflit.