9.6 Autorisations de sécurité pour le tableau de bord de travail

Cette section décrit les autorisations nécessaires à chaque utilisateur pour effectuer diverses opérations dans le tableau de bord de travail. Les rubriques sont les suivantes :

9.6.1 Self-service des utilisateurs

L'utilisateur authentifié peut effectuer des opérations de self-service pour des tâches dans le tableau de bord de travail sans aucune autorisation de sécurité, comme décrit dans le tableau ci-dessous.

Tableau 9-5 Notifications de tâches pour le self-service des utilisateurs

Pour effectuer cette opération...

L'utilisateur authentifié doit être...

Et il doit avoir ces autorisations...

Afficher la tâche dans la liste

Destinataire de la tâche

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

REMARQUE :en mode self-service, l'administrateur ou le gestionnaire de domaine peuvent aussi afficher les tâches dont ils sont les receveurs.

Aucune.

Afficher et utiliser les détails de la tâche

Destinataire de la tâche.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Aucune.

Afficher les commentaires de workflow

Destinataire de la tâche.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Aucune.

L'utilisateur authentifié nécessite des droits de consultation des entrées pour assigner ou supprimer des assignations de rôles et de ressources, comme décrit dans le tableau ci-dessous.

Tableau 9-6 Assignations de rôles et de ressources pour le self-service des utilisateurs

Pour effectuer cette opération...

L'utilisateur authentifié doit être...

Et il doit avoir ces autorisations...

Afficher le rôle ou la ressource dans la liste

Receveur.

La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.

Aucune.

Assigner ou supprimer une assignation pour un rôle ou une ressource

Receveur.

Les opérations Accorder et Révoquer s'appliquent à l'utilisateur authentifié uniquement.

Ayant droit (consultation des entrées).

L'utilisateur authentifié nécessite des droits de consultation des entrées pour certaines opérations d'état de requête, comme décrit dans le tableau ci-dessous.

Tableau 9-7 État de requête pour le self-service des utilisateurs

Pour effectuer cette opération...

L'utilisateur authentifié doit être...

Et il doit avoir ces autorisations...

Afficher les requêtes de processus dans une liste

Initiateur ou receveur.

Aucune.

Afficher et utiliser le détail de la requête de processus

Initiateur ou receveur (si l'option Limiter l'affichage est définie sur faux dans Designer).

Si l'option Limiter l'affichage est définie sur vrai, l'affichage est limité aux tâches initiées par l'utilisateur, même si celui-ci dispose de droits de consultation.

Ayant droit (consultation des entrées).

Retirer les requêtes de processus

Initiateur et receveur.

La requête doit être retirable, autrement dit, elle ne peut pas avoir été approuvée, refusée, annulée ni provisionnée.

Ayant droit (consultation des entrées).

Afficher les commentaires de workflow pour les requêtes de processus

Initiateur ou receveur (si l'option Limiter l'affichage est définie sur faux dans Designer).

Si l'option Limiter l'affichage est définie sur vrai, l'affichage est limité aux tâches initiées par l'utilisateur, même si celui-ci dispose de droits de consultation.

Ayant droit (consultation des entrées).

Afficher les requêtes de rôles ou de ressources dans une liste

Initiateur ou receveur.

Aucune.

Afficher et utiliser le détail de la requête de rôle ou de ressource

Initiateur ou receveur.

Ayant droit (consultation des entrées).

Retirer des requêtes de rôles ou de ressources

Initiateur et receveur.

La requête doit être retirable, autrement dit, elle ne peut pas avoir été approuvée, refusée, annulée ni provisionnée.

Ayant droit (consultation des entrées).

Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources

Initiateur ou receveur.

Ayant droit de rôle/ressource (consultation des entrées).

9.6.2 Administrateur de domaine en mode de gestion

En mode de gestion, l'administrateur de domaine peut effectuer des opérations pour des tâches dans le tableau de bord de travail sans aucune autorisation de sécurité, comme décrit dans le tableau ci-dessous.

Tableau 9-8 Notifications de tâches pour l'administrateur de domaine en mode de gestion

Pour effectuer cette opération...

L'utilisateur, le groupe, le conteneur ou le rôle géré doit être...

Et l'administrateur de domaine doit disposer de ces autorisations...

Afficher la tâche dans une liste

Destinataire ou receveur d'une tâche.

REMARQUE :un rôle ne peut pas être le receveur d'une tâche. Il ne peut en être que le destinataire.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Aucune.

Afficher et utiliser le détail de la tâche

Destinataire ou receveur d'une tâche.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Aucune.

Afficher les commentaires de workflow

Destinataire ou receveur d'une tâche.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Aucune.

En mode de gestion, l'administrateur de domaine peut effectuer toutes les opérations d'assignations de rôles et de ressources dans le tableau de bord de travail sans aucune permission de sécurité, comme décrit dans le tableau ci-dessous.

Tableau 9-9 Assignations de rôles et de ressources pour les administrateurs de domaine en mode de gestion

Pour effectuer cette opération...

L'utilisateur, le groupe ou le conteneur géré doit être...

Et l'administrateur de domaine doit disposer de ces autorisations...

Afficher le rôle ou la ressource dans une liste

Receveur.

La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.

Aucune.

Assigner ou supprimer une assignation pour un rôle ou une ressource

Receveur.

La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.

Aucune.

Dans le tableau de bord de travail, l'administrateur de domaine peut modifier, assigner ou supprimer toutes les assignations de rôles, à l'exception des assignations de rôles système ne figurant pas dans le domaine qu'il est autorisé à administrer. Cela signifie que l'administrateur de domaine de rôles peut supprimer des assignations d'administrateur et de gestionnaire de rôles, mais n'est pas autorisé à supprimer des assignations d'administrateur ou de gestionnaire de ressources.

Un administrateur peut afficher et éditer n'importe quelle ressource.

En mode de gestion, l'administrateur de domaine peut effectuer des opérations de self-service pour l'état des requêtes dans le tableau de bord de travail sans aucune autorisation de sécurité, comme décrit dans le tableau ci-dessous.

Tableau 9-10 État des requêtes pour les administrateurs de domaine en mode de gestion

Pour effectuer cette opération...

L'utilisateur, le groupe ou le conteneur géré doit être...

Et l'administrateur de domaine doit disposer de ces autorisations...

Afficher les requêtes de processus dans une liste

Initiateur ou receveur.

Aucune.

Afficher et utiliser le détail de la requête de processus

Initiateur ou receveur.

Aucune.

Retirer les requêtes de processus

Initiateur ou receveur.

Aucune.

Afficher les commentaires de workflow pour les requêtes de processus

Initiateur ou receveur.

Aucune.

Afficher les requêtes de rôles ou de ressources dans une liste

Initiateur ou receveur.

Aucune.

Afficher et utiliser le détail de la requête de rôle ou de ressource

Initiateur ou receveur.

L'administrateur de domaine ne voit pas les requêtes pour les rôles système.

Aucune.

L'administrateur de domaine peut afficher toutes les requêtes de rôles, sauf les requêtes de rôles système.

Un administrateur de domaine peut afficher et éditer n'importe quelle ressource.

Retirer des requêtes de rôles ou de ressources

Initiateur ou receveur.

La requête doit être dans un état retirable.

L'administrateur de domaine ne peut pas retirer les requêtes pour les rôles système.

Aucune.

L'administrateur de domaine peut retirer toutes les requêtes de rôles, sauf les requêtes de rôles système.

Un administrateur de domaine peut afficher et éditer n'importe quelle ressource.

Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources

Initiateur ou receveur.

L'administrateur de domaine ne peut pas afficher les commentaires de workflow pour les rôles système.

Aucune.

L'administrateur de domaine peut afficher et éditer tous les rôles, sauf les rôles système.

Un administrateur de domaine peut afficher et éditer n'importe quelle ressource.

9.6.3 Gestionnaire de domaine en mode de gestion

En mode de gestion, le gestionnaire de domaine peut afficher des tâches sans aucune autorisation de sécurité. En revanche, pour l'affichage des détails des tâches et des commentaires de workflow, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.

Tableau 9-11 Notifications de tâches pour les gestionnaires de domaine en mode de gestion

Pour effectuer cette opération...

L'utilisateur, le groupe, le conteneur ou le rôle géré doit être...

Et le gestionnaire de domaine doit disposer de ces autorisations...

Afficher la tâche dans une liste

Destinataire ou receveur d'une tâche.

REMARQUE :un rôle ne peut pas être le receveur d'une tâche. Il ne peut en être que le destinataire.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Aucune.

Afficher le détail de la tâche

Destinataire ou receveur d'une tâche.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Gestion de la tâche du destinataire

Afficher les commentaires de workflow

Destinataire ou receveur d'une tâche.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Gérer la tâche du destinataire

En mode de gestion, le gestionnaire de domaine peut afficher les assignations de rôles et de ressources sans aucune autorisation de sécurité. En revanche, pour assigner des rôles et des ressources ou supprimer des assignations existantes, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.

Tableau 9-12 Assignations de rôles et de ressources pour les gestionnaires de domaine en mode de gestion

Pour effectuer cette opération...

L'utilisateur, le groupe ou le conteneur géré doit être...

Et le gestionnaire de domaine doit disposer de ces autorisations...

Afficher le rôle ou la ressource dans une liste

Receveur.

La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.

Aucune.

Assigner ou supprimer une assignation pour un rôle ou une ressource

Receveur.

La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.

Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :

  • Assigner le rôle à l'utilisateur

  • Révoquer le rôle de l'utilisateur

  • Assigner un rôle au groupe et au conteneur

  • Révoquer le rôle du groupe et du conteneur

Une ou plusieurs des autorisations d'ayant droit suivantes pour une ressource :

  • Assigner la ressource

  • Révoquer la ressource

En mode de gestion, le gestionnaire de domaine peut afficher les requêtes de processus, de rôles et de ressources sans aucune autorisation de sécurité, mais il doit disposer d'une autorisation pour afficher les détails des requêtes et les commentaires de workflow, ainsi que pour retirer des requêtes, comme décrit dans le tableau ci-dessous.

Tableau 9-13 État des requêtes pour les gestionnaires de domaine en mode de gestion

Pour effectuer cette opération...

L'utilisateur, le groupe ou le conteneur géré doit être...

Et le gestionnaire de domaine doit disposer de ces autorisations...

Afficher les requêtes de processus dans une liste

Initiateur ou receveur.

Aucune.

Afficher et utiliser le détail de la requête de processus

Initiateur ou receveur.

Afficher les définitions de requête de provisioning en cours d'exécution

Retirer les requêtes de processus

Initiateur ou receveur.

Retirer la PRD

Afficher les commentaires de workflow pour les requêtes de processus

Initiateur ou receveur.

Afficher les définitions de requête de provisioning en cours d'exécution

Afficher les requêtes de rôles ou de ressources dans une liste

Initiateur ou receveur.

Aucune.

Afficher et utiliser le détail de la requête de rôle ou de ressource

Initiateur ou receveur.

Afficher le rôle ou Afficher la ressource

L'autorisation Afficher le rôle détermine si vous pouvez consulter les détails des requêtes de rôles dans la section État des requêtes du tableau de bord de travail. L'autorisation Afficher la ressource détermine si vous pouvez consulter les détails des requêtes de ressources.

Retirer des requêtes de rôles ou de ressources

Initiateur ou receveur.

La requête doit être dans un état retirable.

Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :

  • Assigner le rôle à l'utilisateur

  • Assigner un rôle au groupe et au conteneur

  • Mettre à jour le rôle

  • Révoquer le rôle de l'utilisateur

  • Révoquer le rôle du groupe et du conteneur

L'autorisation d'ayant droit suivante pour une ressource :

  • Révoquer la ressource

Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources

Initiateur ou receveur.

Afficher le rôle ou Afficher la ressource

9.6.4 Gestionnaire d'équipe en mode de gestion

En mode de gestion, le gestionnaire d'équipe peut afficher des tâches sans aucune autorisation de sécurité. En revanche, pour l'affichage des détails des tâches et des commentaires de workflow, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.

Tableau 9-14 Notifications de tâches pour les gestionnaires d'équipe en mode de gestion

Pour effectuer cette opération...

L'utilisateur géré doit être...

Et le gestionnaire d'équipe doit avoir ces autorisations...

Afficher la tâche dans une liste

Un membre de l'équipe ainsi que le destinataire de la tâche.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Aucune.

Afficher le détail de la tâche

Un membre de l'équipe ainsi que le destinataire de la tâche.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Gestion de la tâche du destinataire

Afficher les commentaires de workflow

Un membre de l'équipe ainsi que le destinataire de la tâche.

La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.

Gérer la tâche du destinataire

En mode de gestion, le gestionnaire d'équipe peut afficher les assignations de rôles et de ressources sans aucune autorisation de sécurité. En revanche, pour assigner des rôles ou des ressources ou supprimer des assignations existantes, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.

Tableau 9-15 Assignations de rôles et de ressources pour les gestionnaires d'équipe en mode de gestion

Pour effectuer cette opération...

L'utilisateur géré doit être...

Et le gestionnaire d'équipe doit avoir ces autorisations...

Afficher le rôle ou la ressource dans une liste

Un membre de l'équipe sélectionnée.

L'utilisateur doit aussi être le receveur.

La liste d'assignations de rôles inclut des assignations pour les groupes et les conteneurs auxquels l'utilisateur appartient.

La liste d'assignations de ressources inclut des assignations pour l'utilisateur géré uniquement.

Aucune.

Assigner ou supprimer une assignation pour un rôle ou une ressource

Un membre de l'équipe sélectionnée.

L'utilisateur doit aussi être le receveur.

La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.

Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :

  • Assigner le rôle à l'utilisateur

  • Révoquer le rôle de l'utilisateur

  • Assigner un rôle au groupe et au conteneur

  • Révoquer le rôle du groupe et du conteneur

Une ou plusieurs des autorisations d'ayant droit suivantes pour une ressource :

  • Assigner la ressource

  • Révoquer la ressource

En mode de gestion, le gestionnaire d'équipe peut afficher les requêtes de processus, de rôles et de ressources sans aucune autorisation de sécurité. En revanche, pour afficher les détails de requête et les commentaires de workflow, ainsi que pour retirer des requêtes, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.

Tableau 9-16 État des requêtes pour les gestionnaires d'équipe en mode de gestion

Pour effectuer cette opération...

L'utilisateur géré doit être...

Et le gestionnaire d'équipe doit avoir ces autorisations...

Afficher les requêtes de processus dans une liste

Initiateur ou receveur.

Aucune.

Afficher et utiliser le détail de la requête de processus

Initiateur ou receveur.

Afficher les définitions de requête de provisioning en cours d'exécution

Retirer les requêtes de processus

Initiateur ou receveur.

Retirer la PRD

Afficher les commentaires de workflow pour les requêtes de processus

Initiateur ou receveur.

Afficher les définitions de requête de provisioning en cours d'exécution

Afficher les requêtes de rôles ou de ressources dans une liste

Initiateur ou receveur.

Aucune.

Afficher et utiliser le détail de la requête de rôle ou de ressource

Initiateur ou receveur.

Afficher le rôle ou Afficher la ressource

L'autorisation Afficher le rôle détermine si vous pouvez consulter les détails des requêtes de rôles dans la section État des requêtes du tableau de bord de travail. L'autorisation Afficher la ressource détermine si vous pouvez consulter les détails des requêtes de ressources.

Retirer des requêtes de rôles ou de ressources

Initiateur ou receveur.

La requête doit être dans un état retirable.

Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :

  • Assigner le rôle à l'utilisateur

  • Assigner un rôle à l'utilisateur et au groupe

  • Mettre à jour le rôle

  • Révoquer le rôle de l'utilisateur

  • Révoquer le rôle du groupe et du conteneur

L'autorisation d'ayant droit suivante pour une ressource :

  • Révoquer la ressource

Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources

Initiateur ou receveur.

Afficher le rôle ou Afficher la ressource