Lorsqu'un utilisateur se logue à l'application utilisateur Identity Manager, le système de sécurité authentifie cet utilisateur et définit les contrôles d'accès pour protéger les objets de provisioning et de workflow contre les utilisations non autorisées. Vous avez ainsi la garantie que l'utilisateur ne voit que les définitions de requête de provisioning pour lesquelles des droits d'accès lui ont été accordés. En plus d'exécuter des services d'authentification et d'autorisation pour l'application utilisateur, le système de sécurité gère les assignations de mandataire et de délégué.
Si la fonction de consignation est activée, toutes les opérations effectuées par un mandataire ou un délégué sont consignées avec les opérations effectuées par les autres utilisateurs. Lorsqu'une opération est effectuée par un mandataire ou un délégué, le message du journal indique clairement que l'opération a été effectuée par un mandataire ou un délégué à la place d'un autre utilisateur. En outre, chaque fois qu'une nouvelle assignation de mandataire ou de délégué est définie, cet événement est également consigné.
Si une définition de requête de provisioning est configurée afin de générer des notifications par message électronique, les mandataires comme les destinataires en sont avertis par message électronique. Les délégués ne sont pas inclus dans les notifications par message électronique.
Rôles de sécurité des workflowsLe système de sécurité reconnaît les rôles de sécurité suivants :
Rôle |
Description |
Droits |
---|---|---|
Administrateur de l'application utilisateur |
Utilisateur Locksmith doté des droits d'administration complets. |
L'administrateur de l'application utilisateur est autorisé à exécuter les tâches suivantes dans iManager :
L'administrateur de l'application utilisateur est autorisé à exécuter les tâches suivantes dans l'application utilisateur :
REMARQUE:L'onglet Administration de l'application utilisateur Identity Manager fournit des outils pour assigner des droits afin d'administrer cette application utilisateur. Pour utiliser cet onglet, vous devez commencer par vous loguer en tant qu'utilisateur qui a été défini comme l'Administrateur de l'application utilisateur au moment de l'installation. Pour plus d'informations sur les fonctions de sécurité de l'application utilisateur, reportez-vous au Section 11.0, Configuration de la sécurité. |
Responsable organisationnel |
Superviseur subordonné direct d'un employé. À chaque utilisateur ne correspond qu'un seul responsable organisationnel. SUGGESTION:Le responsable organisationnel peut également être considéré comme un responsable administratif. |
Le responsable organisationnel est autorisé à :
|
Gestionnaire de groupes de tâches |
Responsabilité octroyée par l'utilisateur pour un ensemble de tâches associées à un groupe de tâches. Un groupe de tâches est une extension de l'objet Groupe LDAP. Chaque groupe de tâche ne peut avoir qu'un seul gestionnaire de groupes de tâches. Les gestionnaires de groupes de tâches sont assignés par l'Administrateur de l'application utilisateur. Lorsqu'une tâche est assignée à un groupe, l'attribut srvrprvTaskManager de ce groupe contient le DN de l'utilisateur désigné comme gestionnaire de groupes de tâches. Afin d'optimiser les performances, les gestionnaires de groupes de tâches sont également identifiés par un attribut sur l'objet Utilisateur. La valeur Vrai est définie pour l'attribut srvprvIsTaskManager d'un utilisateur désigné comme gestionnaire de groupes de tâches. |
Le gestionnaire de groupes de tâches est autorisé à :
Le gestionnaire de groupes de tâches n'est pas autorisé à :
|
REMARQUE:Tous les utilisateurs peuvent afficher les attributs masqués associés à leur propre identité.
Définition des relations de mandataire et de déléguéPour définir une assignation de mandataire pour un utilisateur, utilisez la page Assignation des proxy de l'équipe dans l'onglet Requêtes & Approbations de l'interface utilisateur Identity Manager. Pour définir une assignation de délégué pour un utilisateur, utilisez la page Assignation des délégués de l'équipe, également disponible à partir de l'onglet Requêtes & Approbations.
Création des gestionnaires de groupes de tâchesPour définir un gestionnaire de groupes de tâches pour un groupe de tâches, utilisez la page Créer un utilisateur ou Créer un groupe, disponible à partir de l'onglet Libre-service d'identité de l'interface utilisateur Identity Manager.
Pour obtenir des informations détaillées sur la définition des gestionnaires de groupes de tâches, reportez-vous au Guide d'utilisation de l'application utilisateur Identity Manager.