Novell Doc: Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1

17.4 Gestion des contraintes SoD

L'opération Gestion de la séparation des tâches dans l'onglet Rôles de l'interface utilisateur Identity Manager permet de :

Définir une contrainte (ou règle) de séparation des tâches (SoD).
Définir comment traiter les requêtes d'exceptions de contrainte.

Une contrainte SoD est une règle qui rend deux rôles de même niveau réciproquement exclusifs. Si un utilisateur est assigné à un rôle, il ne peut pas être assigné à un second rôle, sauf si une exception est autorisée pour cette contrainte. Vous pouvez choisir de toujours autoriser les exceptions à la contrainte ou de ne les autoriser que par le biais d'un flux d'approbation.

Accès aux pages. La page Gestion de la séparation des tâches est accessible à l'administrateur de rôles ou au responsable de sécurité. Le responsable de sécurité nécessite des droits Parcourir pour le conteneur SoDDef dans le coffre-fort d'identité. En revanche, il ne nécessite pas de droits Parcourir pour les rôles.

17.4.1 Création de nouvelles contraintes SoD

Cliquez sur Gestion de la séparation des tâches dans la liste des opérations Gestion des rôles.
Cliquez sur Nouveau.
Naviguez vers la section Détails de la nouvelle contrainte SoD. Pour plus d'informations sur la façon de compléter les champs, reportez-vous au Tableau 17-5.
Naviguez vers la section Détails d'approbation. Pour plus d'informations sur la façon de compléter les champs, reportez-vous au Tableau 17-6.
Cliquez sur Enregistrer pour enregistrer vos modifications.

17.4.2 Modification des contraintes SoD existantes

Cliquez sur Gestion de la séparation des tâches dans le groupe d'opérations Gestion des rôles.
Pour afficher ou modifier une contrainte SoD existante, utilisez les outils Sélecteur d'objet ou Afficher l'historique pour sélectionner la contrainte. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à Utilisation du bouton de sélecteur d'objet pour effectuer une recherche.
Sélectionnez la séparation de tâches (SoD) de votre choix dans la liste. La page de recherche se ferme et affiche les Détails de contraintes SoD et les Détails d'approbation pour la séparation des tâches sélectionnée.
Pour plus d'informations sur comment compléter les champs, reportez-vous au Tableau 17-5, Détails des contraintes SoD et au Tableau 17-6, Détails d'approbation.
Cliquez sur Enregistrer pour enregistrer vos modifications.

17.4.3 Référence relative aux propriétés des contraintes SoD

Tableau 17-5 Détails des contraintes SoD

Champ	Description
Nom de contrainte de SoD	Le nom de la contrainte. Il apparaît dans les rapports et lorsque l'utilisateur demande une exception de contrainte. Vous ne pouvez pas inclure les caractères suivants dans le Nom de la contrainte de SoD lorsque vous créez une contrainte : < > , ; \ " + # = / \| & * Pour le localiser dans n'importe laquelle des langues prises en charge, cliquez sur . Ce nom peut également être spécifié dans l'éditeur SoD du concepteur Identity Manager.
Description de la contrainte de SoD	La description de la contrainte. Pour le localiser dans n'importe laquelle des langues prises en charge, cliquez sur . Ce nom peut être spécifié dans l'éditeur SoD du concepteur Identity Manager.
Rôle en conflit	Le nom du rôle pour lequel vous souhaitez définir une contrainte. Un rôle définit un ensemble de privilèges associés à un ou plusieurs systèmes cibles ou applications. Ce champ est en lecture seule lors d'une opération de modification.
Rôle en conflit	Le nom du rôle en conflit. Cliquez sur Parcourir pour localiser un rôle existant dans les rôles disponibles. Ce champ est en lecture seule lors d'une opération de modification.

REMARQUE :il est important de spécifier les deux rôles en conflit. Peu importe l'ordre dans lequel vous spécifiez les rôles en conflit.

Tableau 17-6 Détails d'approbation

Champ	Description
Approbation requise	Sélectionnez Oui si vous souhaitez lancer un workflow lorsqu'un utilisateur effectue une requête d'exception de contrainte SoD. REMARQUE :si l'exception SoD est issue d'une assignation implicite (par le biais de son appartenance à un groupe ou à un conteneur, par exemple), le fait de sélectionner Oui ne permet pas de démarrer le workflow d'approbation. L'exception SoD est toujours accordée et est consignée comme tel. Sélectionnez Non si l' utilisateur peut effectuer une requête d'exception de contrainte SoD sans autorisation. Dans ce cas, l'exception est toujours accordée.
Définition d'approbation SoD	Affiche le nom en lecture seule de la définition de requête de provisioning qui s'exécute lorsqu'un utilisateur effectue une requête d'exception de contrainte SoD. La valeur est issue de l'objet Configuration de rôles. Elle s'exécute uniquement si l'Approbation requise indique Oui.
Type d'approbation	Un champ en lecture seule qui affiche le type de traitement pour la définition de requête de provisioning spécifiée ci-dessus. Cette valeur est issue de l'objet Configuration de rôles.
Utiliser les approbateurs par défaut	Sélectionnez Oui si les approbateurs sont spécifiés dans le sous-système de rôles. Sélectionnez Utilisateur si la tâche d'approbation SoD doit être assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation SoD doit être assignée à un groupe. Sélectionnez Rôle si la tâche d'approbation de SoD doit être assignée à un rôle. Pour localiser un utilisateur, un groupe ou un rôle, utilisez les boutons Sélecteur d'objet ou Historique (voir Section 1.4.4, Principales opérations utilisateur). Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, utilisez les boutons tel que décrit dans Section 1.4.4, Principales opérations utilisateur.