21.3 Sicurezza del provisioning

Quando un utente esegue il login all'applicazione utente di Identity Manager, il sistema di sicurezza lo autentica e imposta controlli di accesso per proteggere oggetti di provisioning e di workflow dall'utilizzo non autorizzato. Ciò garantisce che l'utente veda solo le definizioni di richieste di provisioning per le quali gli è stato concesso l'accesso. Oltre a eseguire servizi di autenticazione e autorizzazione per l'applicazione utente, il sistema di sicurezza gestisce assegnazioni per utenti incaricati e delegati.

Se la registrazione è abilitata, qualsiasi azione intrapresa da un utente incaricato o da un delegato viene registrata unitamente alle azioni eseguite da altri utenti. Quando un'azione viene eseguita da un utente incaricato o da un delegato, nel messaggio di registrazione viene indicato chiaramente che l'azione è stata eseguita da un utente incaricato o da un delegato a vantaggio di un altro utente. Viene inoltre registrata ogni definizione di una nuova assegnazione di un utente incaricato o con delega.

Se una definizione di richiesta di provisioning è configurata per la generazione di notifiche e-mail, sia gli utenti incaricati che gli assegnatari ricevono una notifica tramite e-mail. I delegati non sono inclusi nelle notifiche e-mail.

Ruoli di sicurezza del workflow Il sistema di sicurezza riconosce i ruoli di sicurezza seguenti:

Ruolo

Descrizione

Diritti

Amministratore dell'applicazione utente

Utente superamministratore con pieni diritti amministrativi.

L'amministratore dell'applicazione utente è autorizzato a eseguire i task seguenti in iManager:

  • Configurazione delle richieste di provisioning
  • Gestione dei workflow già in corso

L'amministratore dell'applicazione utente è autorizzato a eseguire i task seguenti nell'applicazione utente:

  • Visualizzazione e modifica di tutti i task in tutte le code di workflow.
  • Definizione di assegnazioni di utenti incaricati e deleghe per qualsiasi utente del sistema.
  • Visualizzazione di informazioni nascoste (attributi nascosti) relative a qualsiasi utente del sistema.
  • Creazione di manager di gruppi di task e assegnazione di tali manager a gruppi. L'amministratore dell'applicazione utente è l'unico autorizzato a creare e assegnare manager di gruppi di task.

NOTA:nella scheda Amministrazione dell'applicazione utente di Identity Manager sono contenuti strumenti per l'assegnazione dei diritti di amministrazione dell'applicazione utente. Per utilizzare questa scheda, è necessario eseguire il login in qualità di utente specificato come amministratore dell'applicazione utente in fase di installazione.

Per informazioni sull'utilizzo delle funzioni di sicurezza dell'applicazione utente, vedere Sezione 11.0, Configurazione della sicurezza.

Manager dell'organizzazione

Supervisore diretto di un dipendente. Ogni utente fa riferimento a un solo manager dell'organizzazione.

SUGGERIMENTO:è possibile equiparare il manager dell'organizzazione a un manager amministrativo.

Il manager dell'organizzazione è autorizzato a eseguire le operazioni seguenti:

  • Visualizzazione di tutti i task inclusi nelle code di workflow del proprio team. Questa funzione è limitata a un singolo livello nella gerarchia gestionale, quindi il supervisore di un manager dell'organizzazione non è autorizzato a vedere i task dei dipendenti diretti del manager dell'organizzazione.
  • Modifica dei task dei dipendenti diretti, tranne nel caso in cui un dipendente diretto disponga di un task assegnato a un gruppo il cui manager non coincide con il manager dell'organizzazione. In tal caso il manager dell'organizzazione può visualizzare il task ma non può modificarlo. In caso di escalation il task passa al manager del gruppo di task anziché al manager dell'organizzazione.
  • Assunzione di task e relativo annullamento e riassegnazione di task a membri del team.
  • Definizione delle relazioni con utenti incaricati e delegati per se stesso e per membri del team.
  • Visualizzazione di attributi nascosti relativi a membri del team.

Manager del gruppo di task

Utente responsabile di un insieme di task associati a un gruppo. Un gruppo di task è un'estensione dell'oggetto Gruppo LDAP. A ogni gruppo di task è associato un solo manager.

I manager di gruppi di task vengono assegnati dall'amministratore dell'applicazione utente.

Quando un task viene assegnato a un gruppo, l'attributo srvrprvTaskManager relativo al gruppo contiene il nome distinto dell'utente designato come manager del gruppo di task. Per motivi di miglioramento delle prestazioni, i manager di gruppi di task vengono inoltre identificati da un attributo dell'oggetto Utente. L'attributo srvrprvTaskManager viene impostato su true per l'utente designato come manager del gruppo di task.

Il manager del gruppo di task è autorizzato a eseguire le operazioni seguenti:

  • Visualizzazione e modifica di tutti i task assegnati a un gruppo del quale egli è il capo designato.

Il manager del gruppo di task non è autorizzato a eseguire le operazioni seguenti:

  • Creazione di risorse o ritiro di richieste.
  • Definizione delle relazioni con utenti incaricati o delegati.
  • Visualizzazione di attributi nascosti relativi a membri del team.

NOTA:ogni utente può visualizzare attributi nascosti associati alla propria identità.

Definizione delle relazioni con utenti incaricati e delegati Per definire l'assegnazione di un utente incaricato per un utente, si utilizza la pagina Assegnazioni di utenti incaricati del team della scheda Richieste e approvazioni dell'interfaccia utente di Identity Manager. Per definire l'assegnazione di una delega a un utente, si utilizza la pagina Assegnazioni deleghe del team disponibile nella scheda Richieste e approvazioni.

Creazione di manager di gruppi di task Per definire un manager di un gruppo di task, si utilizza la pagina Crea utente o gruppo della scheda Self-service identità dell'interfaccia utente di Identity Manager.

Per informazioni complete sulla definizione di manager di gruppi di task, utenti incaricati e delegati, vedere l'Applicazione utente di Identity Manager - Guida dell'utente.