Novell Documentation: Novell Identity Manager 3

21.3 Sécurité du provisioning

Lorsqu'un utilisateur se logue à l'application utilisateur Identity Manager, le système de sécurité authentifie cet utilisateur et définit les contrôles d'accès pour protéger les objets de provisioning et de workflow contre les utilisations non autorisées. Vous avez ainsi la garantie que l'utilisateur ne voit que les définitions de requête de provisioning pour lesquelles des droits d'accès lui ont été accordés. En plus d'exécuter des services d'authentification et d'autorisation pour l'application utilisateur, le système de sécurité gère les assignations de mandataire et de délégué.

Un délégué est un utilisateur autorisé à exécuter des travaux à la place d'un autre utilisateur. Une assignation de délégué s'applique à une définition de requête de provisioning particulière.
Un mandataire est un utilisateur autorisé à exécuter l'un des travaux ou tous les travaux à la place d'un ou de plusieurs utilisateurs, groupes ou conteneurs. Contrairement aux assignations de délégué, les assignations de mandataire sont indépendantes des définitions de requête de provisioning. Elles s'appliquent donc à tous les travaux et à tous les paramètres.

Si la fonction de consignation est activée, toutes les opérations effectuées par un mandataire ou un délégué sont consignées avec les opérations effectuées par les autres utilisateurs. Lorsqu'une opération est effectuée par un mandataire ou un délégué, le message du journal indique clairement que l'opération a été effectuée par un mandataire ou un délégué à la place d'un autre utilisateur. En outre, chaque fois qu'une nouvelle assignation de mandataire ou de délégué est définie, cet événement est également consigné.

Si une définition de requête de provisioning est configurée afin de générer des notifications par message électronique, les mandataires comme les destinataires en sont avertis par message électronique. Les délégués ne sont pas inclus dans les notifications par message électronique.

Rôles de sécurité des workflowsLe système de sécurité reconnaît les rôles de sécurité suivants :

Rôle	Description	Droits
Administrateur de l'application utilisateur	Utilisateur Locksmith doté des droits d'administration complets.	L'administrateur de l'application utilisateur est autorisé à exécuter les tâches suivantes dans iManager : Configurer les requêtes de provisioning Gérer les workflows déjà en cours de traitement L'administrateur de l'application utilisateur est autorisé à exécuter les tâches suivantes dans l'application utilisateur : Afficher et modifier toutes les tâches de toutes les files d'attente de workflows Définir les assignations de mandataire et de délégué pour tous les utilisateurs du système Afficher les informations masquées (dotées de l'attribut Masqué) pour tous les utilisateurs du système Créer des gestionnaires de groupes de tâches et les assigner à des groupes, sachant que l'administrateur de l'application utilisateur est le seul utilisateur qui peut créer et assigner des gestionnaires de groupes de tâches REMARQUE:L'onglet Administration de l'application utilisateur Identity Manager fournit des outils pour assigner des droits afin d'administrer cette application utilisateur. Pour utiliser cet onglet, vous devez commencer par vous loguer en tant qu'utilisateur qui a été défini comme l'Administrateur de l'application utilisateur au moment de l'installation. Pour plus d'informations sur les fonctions de sécurité de l'application utilisateur, reportez-vous au Section 11.0, Configuration de la sécurité.
Responsable organisationnel	Superviseur subordonné direct d'un employé. À chaque utilisateur ne correspond qu'un seul responsable organisationnel. SUGGESTION:Le responsable organisationnel peut également être considéré comme un responsable administratif.	Le responsable organisationnel est autorisé à : Afficher toutes les tâches qui se trouvent dans les files d'attente de workflows des membres de son équipe. Cette fonction s'applique à un seul niveau dans la hiérarchie des responsabilités. Par conséquent, le superviseur d'un responsable organisationnel ne peut pas afficher les tâches des subordonnés directs de ce responsable organisationnel. Modifier les tâches des subordonnés directs, sauf dans le cas où un subordonné direct a une tâche assignée à un groupe dont le gestionnaire de groupes de tâches est une autre personne que le responsable organisationnel. Dans ce cas, le responsable organisationnel peut afficher la tâche, mais ne peut en aucun cas la modifier. Lors du transfert d'une tâche, cette tâche est déplacée vers le gestionnaire de groupes de tâches et non vers le responsable organisationnel. Réclamer des tâches ou annuler des réclamations de tâche, et réassigner des tâches aux membres de son équipe. Définir des relations de mandataire et de délégué pour lui-même et pour les membres de son équipe. Afficher les attributs masqués des membres de son équipe.
Gestionnaire de groupes de tâches	Responsabilité octroyée par l'utilisateur pour un ensemble de tâches associées à un groupe de tâches. Un groupe de tâches est une extension de l'objet Groupe LDAP. Chaque groupe de tâche ne peut avoir qu'un seul gestionnaire de groupes de tâches. Les gestionnaires de groupes de tâches sont assignés par l'Administrateur de l'application utilisateur. Lorsqu'une tâche est assignée à un groupe, l'attribut srvrprvTaskManager de ce groupe contient le DN de l'utilisateur désigné comme gestionnaire de groupes de tâches. Afin d'optimiser les performances, les gestionnaires de groupes de tâches sont également identifiés par un attribut sur l'objet Utilisateur. La valeur Vrai est définie pour l'attribut srvprvIsTaskManager d'un utilisateur désigné comme gestionnaire de groupes de tâches.	Le gestionnaire de groupes de tâches est autorisé à : Afficher et modifier toutes les tâches qui sont assignées à un groupe pour lequel il a été désigné comme chef de groupe. Le gestionnaire de groupes de tâches n'est pas autorisé à : Créer des ressources ou retirer des requêtes. Définir des relations de mandataire ou de délégué. Afficher les attributs masqués des membres de son équipe.

Rôle

Description

Droits

Administrateur de l'application utilisateur

Utilisateur Locksmith doté des droits d'administration complets.

L'administrateur de l'application utilisateur est autorisé à exécuter les tâches suivantes dans iManager :

Configurer les requêtes de provisioning
Gérer les workflows déjà en cours de traitement

L'administrateur de l'application utilisateur est autorisé à exécuter les tâches suivantes dans l'application utilisateur :

Afficher et modifier toutes les tâches de toutes les files d'attente de workflows
Définir les assignations de mandataire et de délégué pour tous les utilisateurs du système
Afficher les informations masquées (dotées de l'attribut Masqué) pour tous les utilisateurs du système
Créer des gestionnaires de groupes de tâches et les assigner à des groupes, sachant que l'administrateur de l'application utilisateur est le seul utilisateur qui peut créer et assigner des gestionnaires de groupes de tâches

REMARQUE:L'onglet Administration de l'application utilisateur Identity Manager fournit des outils pour assigner des droits afin d'administrer cette application utilisateur. Pour utiliser cet onglet, vous devez commencer par vous loguer en tant qu'utilisateur qui a été défini comme l'Administrateur de l'application utilisateur au moment de l'installation.

Pour plus d'informations sur les fonctions de sécurité de l'application utilisateur, reportez-vous au Section 11.0, Configuration de la sécurité.

Responsable organisationnel

Superviseur subordonné direct d'un employé. À chaque utilisateur ne correspond qu'un seul responsable organisationnel.

SUGGESTION:Le responsable organisationnel peut également être considéré comme un responsable administratif.

Le responsable organisationnel est autorisé à :

Afficher toutes les tâches qui se trouvent dans les files d'attente de workflows des membres de son équipe. Cette fonction s'applique à un seul niveau dans la hiérarchie des responsabilités. Par conséquent, le superviseur d'un responsable organisationnel ne peut pas afficher les tâches des subordonnés directs de ce responsable organisationnel.
Modifier les tâches des subordonnés directs, sauf dans le cas où un subordonné direct a une tâche assignée à un groupe dont le gestionnaire de groupes de tâches est une autre personne que le responsable organisationnel. Dans ce cas, le responsable organisationnel peut afficher la tâche, mais ne peut en aucun cas la modifier. Lors du transfert d'une tâche, cette tâche est déplacée vers le gestionnaire de groupes de tâches et non vers le responsable organisationnel.
Réclamer des tâches ou annuler des réclamations de tâche, et réassigner des tâches aux membres de son équipe.
Définir des relations de mandataire et de délégué pour lui-même et pour les membres de son équipe.
Afficher les attributs masqués des membres de son équipe.

Gestionnaire de groupes de tâches

Responsabilité octroyée par l'utilisateur pour un ensemble de tâches associées à un groupe de tâches. Un groupe de tâches est une extension de l'objet Groupe LDAP. Chaque groupe de tâche ne peut avoir qu'un seul gestionnaire de groupes de tâches.

Les gestionnaires de groupes de tâches sont assignés par l'Administrateur de l'application utilisateur.

Lorsqu'une tâche est assignée à un groupe, l'attribut srvrprvTaskManager de ce groupe contient le DN de l'utilisateur désigné comme gestionnaire de groupes de tâches. Afin d'optimiser les performances, les gestionnaires de groupes de tâches sont également identifiés par un attribut sur l'objet Utilisateur. La valeur Vrai est définie pour l'attribut srvprvIsTaskManager d'un utilisateur désigné comme gestionnaire de groupes de tâches.

Le gestionnaire de groupes de tâches est autorisé à :

Afficher et modifier toutes les tâches qui sont assignées à un groupe pour lequel il a été désigné comme chef de groupe.

Le gestionnaire de groupes de tâches n'est pas autorisé à :

Créer des ressources ou retirer des requêtes.
Définir des relations de mandataire ou de délégué.
Afficher les attributs masqués des membres de son équipe.

REMARQUE:Tous les utilisateurs peuvent afficher les attributs masqués associés à leur propre identité.

Définition des relations de mandataire et de déléguéPour définir une assignation de mandataire pour un utilisateur, utilisez la page Assignation des proxy de l'équipe dans l'onglet Requêtes & Approbations de l'interface utilisateur Identity Manager. Pour définir une assignation de délégué pour un utilisateur, utilisez la page Assignation des délégués de l'équipe, également disponible à partir de l'onglet Requêtes & Approbations.

Création des gestionnaires de groupes de tâchesPour définir un gestionnaire de groupes de tâches pour un groupe de tâches, utilisez la page Créer un utilisateur ou Créer un groupe, disponible à partir de l'onglet Libre-service d'identité de l'interface utilisateur Identity Manager.

Pour obtenir des informations détaillées sur la définition des gestionnaires de groupes de tâches, reportez-vous au Guide d'utilisation de l'application utilisateur Identity Manager.