Services basés sur le rôle
iManager vous permet d'assigner aux utilisateurs certaines responsabilités et de mettre à leur disposition les outils (et les droits correspondants) nécessaires à l'exercice de ces responsabilités uniquement. Cette fonctionnalité est appelée Services basés sur le rôle (RBS).
La fonction RBS constitue une série d'extensions au schéma eDirectory. Elle définit plusieurs attributs et classes d'objet qui permettent aux administrateurs d'octroyer aux utilisateurs un accès à des tâches de gestion en fonction de leur rôle dans l'organisation. Ainsi, les utilisateurs ont uniquement accès aux tâches qu'ils doivent effectuer. RBS n'octroie que les droits nécessaires à l'exécution des tâches assignées.
REMARQUE : le contrôle d'accès Services basés sur le rôle (RBS) Novell iManager accorde des droits en fonction de la fonctionnalité Liste de contrôle d'accès (ACL) de Novell eDirectoryTM. Les listes de contrôle d'accès permettent d'accorder à un ayant droit des droits sur un objet particulier ou sur ses objets subordonnés. L'octroi de droits par ce biais n'est pas basé sur des types d'objet particuliers. Chaque tâche Novell iManager définit ses types d'objet applicables et les ACL nécessaires. Toutefois, ces ACL peuvent permettre à l'utilisateur d'exécuter ces opérations avec d'autres types d'objet via les API de eDirectory ou d'autres outils tels que Novell ConsoleOne ou NWAdmin.
Utilisez RBS pour créer des rôles spécifiques au sein de votre organisation ; les rôles contiennent des tâches qu'un utilisateur assigné peut exécuter dans iManager, telles que la création d'un utilisateur ou la modification d'un mot de passe. Les tâches sont pré-assignées aux rôles, mais peuvent être remplacées, réassignées ou tout simplement supprimées.
En outre, les utilisateurs sont associés à des rôles dans une étendue spécifiée, autrement dit un conteneur de l'arborescence dans lequel l'utilisateur dispose des autorisations requises pour exécuter une tâche. Pour être complet, un rôle exige la triple association rôle-membres-étendue.
Un objet Rôle RBS crée une association entre utilisateurs et tâches. Un administrateur octroie à un utilisateur l'accès à une tâche en le rendant membre du rôle auquel la tâche est assignée.
Un utilisateur peut être assigné à un rôle de différentes manières :
- Directement en tant qu'utilisateur
- Via des assignations de groupes et de groupes dynamiques
Si un utilisateur est membre d'un groupe ou d'un groupe dynamique assigné à un rôle, il a accès à ce rôle.
- Via des assignations de rôles organisationnels
Si un utilisateur est titulaire d'un rôle organisationnel assigné à un rôle, il a accès à ce rôle.
- Via des assignations de conteneurs
Un objet Utilisateur a accès à tous les rôles auxquels son conteneur parent est assigné. Cela concerne également d'autres conteneurs jusqu'à la racine de l'arborescence.
Un utilisateur peut être associé à un rôle plusieurs fois, chaque fois avec une étendue différente.
Objets RBS dans eDirectory
Le tableau suivant répertorie les objets RBS. iManager étend le schéma eDirectory pour inclure ces objets lorsque vous installez RBS. Pour plus d'informations, reportez-vous à la section Installation de la fonctionnalité RBS.
 rbsCollection
|
Objet Conteneur qui contient tous les objets Rôle et Module RBS. Les objets rbsCollection sont les conteneurs du niveau le plus élevé pour tous les objets RBS. Une arborescence peut contenir autant d'objets rbsCollection que nécessaire. Ces objets ont des propriétaires, autrement dit des utilisateurs qui disposent de droits de gestion sur la collection. Les objets rbsCollection peuvent être créés dans l'un des conteneurs suivants : - Pays
- Domaine
- Lieu
- Organisation
- Unité organisationnelle
|
 rbsRole
|
La définition d'un rôle comprend la création d'un objet rbsRole et la spécification des tâches que le rôle peut effectuer. Les objets Conteneur rbsRole ne peuvent être créés que dans un conteneur rbsCollection. Les membres d'un rôle peuvent être des utilisateurs, groupes, organisations, rôles Organisation ou unités organisationnelles et sont associés à un rôle dans une étendue spécifique de l'arborescence. Les objets rbsTask et rbsBook sont assignés aux objets rbsRole. |
 rbsTask
|
Objet Feuille qui comprend une fonction spécifique, telle que la réinitialisation des mots de passe de login. Les objets rbsTask se situent exclusivement dans des conteneurs rbsModule. |
 rbsBook
(ou pages de propriétés)
|
Un livre est un objet Feuille qui affiche un groupe de pages permettant à un utilisateur de consulter ou de modifier les propriétés d'un objet ou d'une série d'objets du même type. Chaque page du livre comporte un onglet sur lequel il suffit de cliquer pour afficher une page différente. Un objet Livre réside uniquement dans des conteneurs rbsModule et peut être assigné à un ou plusieurs rôles et à un ou plusieurs types de classe d'objet. |
 rbsScope
|
Objet Feuille utilisé pour l'assignation d'ACL (au lieu d'une assignation pour chaque objet Utilisateur). Les objets rbsScope représentent le contexte de l'arborescence dans lequel un rôle est exécuté ; ils sont associés aux objets rbsRole. Ils héritent de la classe Groupe. Les objets Utilisateur sont assignés à un objet rbsScope. Ces objets se réfèrent à l'étendue de l'arborescence à laquelle ils sont associés. Ils sont créés de manière dynamique puis supprimés automatiquement en fonction des besoins. Ils ne se trouvent que dans des conteneurs rbsRole. AVERTISSEMENT : ne modifiez jamais la configuration d'un objet rbsScope, au risque de provoquer de graves problèmes et une panne du système. |
 Module rbs
|
Représente un objet Conteneur qui comprend les objets rbsTask et rbsBook. Les objets rbsModule ont un attribut de nom de module qui correspond au nom du produit définissant les tâches ou les livres (par exemple, utilitaires de maintenance eDirectory, gestion NMASTM, accès au Serveur de certificats Novell). Les objets rbsModule ne peuvent être créés que dans des conteneurs rbsCollection. |
 Catégorie rbs
|
Une catégorie regroupe les rôles et les tâches spécifiques à une fonction particulière. iManager compte 14 catégories par défaut : Authentification et mots de passe, Collaboration, Annuaire, Gestion de fichiers, Identity Manager, Infrastructure, Installer et mettre à niveau, Réseau, Nsure Audit, Impression, Sécurité, Serveurs, Licences logicielles et utilisation réseau et enfin Utilisateurs et groupes. Sélectionnez Toutes les catégories pour afficher l'ensemble des rôles et tâches disponibles. Vous pouvez également créer des catégories et leur assigner des rôles et des tâches. |
Les objets RBS résident dans l'arborescence eDirectory, comme l'illustre la figure suivante :
Figure 2 Services basés sur le rôle dans eDirectory
Installation de la fonctionnalité RBS
La fonctionnalité RBS s'installe à l'aide de l'Assistant de configuration de iManager.
-
Dans la vue Configurer, sélectionnez Services basés sur le rôle > Configuration RBS.
-
Cliquez sur Configurer iManager dans le texte de la remarque.
-
Suivez les instructions à l'écran.