14.1 Informazioni sulla scheda Ruoli

Lo scopo della scheda Ruoli è di offrire un metodo pratico per l'esecuzione delle azioni di provisioning basate sui ruoli, che consentono di gestire le definizioni e le assegnazioni dei ruoli all'interno dell'organizzazione. È possibile mappare le assegnazioni dei ruoli alle risorse di un'azienda, ad esempio ai conti utente, ai computer e ai database. Ad esempio, è possibile utilizzare la scheda Ruoli:

Quando per una richiesta di assegnazione ruolo è necessaria un'autorizzazione da parte di uno o più utenti di un'organizzazione, questa richiesta avvia un workflow. che coordina le approvazioni necessarie per soddisfare la richiesta. Per alcune richieste di assegnazione ruolo è necessaria l'approvazione da parte di un solo utente, mentre altre necessitano dell'approvazione di diversi·utenti. In alcuni casi è possibile che una richiesta venga soddisfatta senza approvazioni.

Se un'assegnazione ruolo può provocare un conflitto di separazione dei compiti, l'iniziatore può ignorare il vincolo di separazione dei compiti e fornire una giustificazione per creare un'eccezione del vincolo. Un conflitto di separazione dei compiti può talvolta provocare l'avvio di un workflow. Il workflow coordina le approvazioni necessarie a rendere valida l'eccezione di separazione dei compiti.

Il progettista del workflow e l'amministratore del sistema sono responsabili dell'impostazione del contenuto della scheda Ruoli per tutti gli utenti dell'organizzazione. Il flusso di controllo relativo a un workflow basato su ruoli o di separazione dei compiti, nonché l'aspetto dei moduli, può variare in base al modo in cui è stata specificata la definizione dell'approvazione per il workflow in Designer per Identity Manager. I contenuti che è effettivamente possibile visualizzare dipendono in genere dai requisiti e dal livello di autorità correlati al lavoro dell'utente.

La modalità utente incaricato è disponibile solo nella scheda Richieste e approvazioni, mentre non è supportata dalla scheda Ruoli. Se si attiva la modalità utente incaricato nella scheda Richieste e approvazioni, e quindi si passa alla scheda Ruoli, la modalità utente incaricato verrà disattivata per entrambe le schede.

14.1.1 Informazioni sui ruoli

Questa sezione include una presentazione dei termini e delle nozioni utilizzati nella scheda Ruoli:

Ruoli e assegnazioni di ruoli

Un ruolo definisce un gruppo di autorizzazioni correlate a uno o più sistemi o applicazioni di destinazione. La scheda Ruoli consente agli utenti di richiedere assegnazioni ruoli, ovvero le associazioni tra un ruolo e un utente, un gruppo o un container. La scheda Ruoli consente di definire le relazioni fra i ruoli, che determinano le associazioni fra i ruoli nella rispettiva·gerarchia.

È possibile assegnare i ruoli direttamente a un utente. Queste assegnazioni dirette consentono all'utente di accedere in modo·esplicito alle autorizzazioni associate al ruolo. È inoltre possibile definire assegnazioni indirette che consentono agli utenti di acquisire ruoli mediante l'appartenenza a un gruppo, container o ruolo correlato nella gerarchia dei ruoli.

Quando si richiede un'assegnazione ruolo, è possibile definire una data di inizio validità dell'assegnazione ruolo per indicare la data e l'ora in cui l'assegnazione diventa valida. Si si lascia questo campo vuoto, l'assegnazione diventa subito valida.

È inoltre possibile definire una data di scadenza di assegnazione del ruolo per indicare la data e l'ora in cui l'assegnazione verrà rimossa automaticamente.

Quando un utente richiede un'assegnazione ruolo, il ciclo di vita della richiesta viene gestito dal sottosistema di ruoli. Per visualizzare le azioni eseguite sulla richiesta da parte degli utenti o dal sottosistema ruoli, è possibile controllare lo stato della richiesta nella pagina Visualizza stato richiesta.

Catalogo dei ruoli e Gerarchia dei ruoli

Affinché gli utenti possano assegnare dei ruoli, è necessario definire questi ultimi nel Catalogo dei ruoli. Il Catalogo dei ruoli è l'archivio in cui vengono memorizzate tutte le definizioni dei ruoli e supporta i dati necessari per il sottosistema dei ruoli. Il Catalogo dei ruoli viene configurato da un amministratore del modulo dei ruoli (o manager dei ruoli), che definisce i ruoli e la relativa gerarchia.

La gerarchia dei ruoli stabilisce le relazioni fra i ruoli nel catalogo. La definizione delle relazioni fra i ruoli consente di semplificare la concessione delle autorizzazioni mediante le assegnazioni dei ruoli. Ad esempio, anziché assegnare 50 ruoli di medico ogni volta che un medico svolge un servizio per l'organizzazione, è possibile definire un ruolo Medico e specificare una relazione fra il ruolo Medico e ciascuno dei ruoli di medico. Assegnando gli utenti al ruolo Medico, è possibile concedere loro le autorizzazioni definite per ciascuno dei ruoli di medico correlati.

La gerarchia dei ruoli supporta tre livelli. I ruoli di livello superiore (denominati Ruoli aziendali) definiscono le operazioni di tipo aziendale all'interno dell'organizzazione. I ruoli di livello medio (denominati ruoli IT) supportano le funzioni di tipo tecnologico. I ruoli di livello inferiore nella gerarchia (denominati Ruoli permesso) definiscono i privilegi di livello inferiore. Nell'esempio seguente viene illustrata una gerarchia di ruoli, a titolo esemplificativo, costituita da tre livelli per un'organizzazione di medicina. Il livello più alto della gerarchia si trova a sinistra, mentre quello più basso a destra:

Figura 14-1 Gerarchia di ruoli di esempio

Un ruolo di livello superiore include automaticamente i privilegi dei ruoli di livello inferiore in esso contenuti. Ad esempio, un ruolo aziendale include automaticamente i privilegi dei ruoli IT in esso contenuti. In modo analogo, un ruolo IT include automaticamente i privilegi dei ruoli permesso in esso contenuti.

Non sono consentite relazioni tra i ruoli peer nella gerarchia. I ruoli di livello inferiore, inoltre, non possono contenere ruoli di livello più alto.

Quando si definisce un ruolo, a scelta è possibile indicare uno o più proprietari del ruolo. Un proprietario ruolo è un utente designato come proprietario della definizione del ruolo. Quando si generano rapporti per il catalogo dei ruoli, è possibile applicare loro un filtro in base al proprietario del ruolo. Il proprietario di un ruolo non dispone automaticamente dell'autorizzazione per l'amministrazione delle modifiche alla definizione del ruolo specificato. In alcuni casi, il proprietario deve chiedere a un amministratore ruoli di eseguire tutte le azioni di amministrazione sul ruolo.

Quando si definisce un ruolo, a scelta è possibile associare quest'ultimo a una o più categorie di ruoli. Una categoria ruolo consente di classificare i ruoli per organizzare il sistema dei ruoli. Dopo aver associato un ruolo a una categoria, è possibile utilizzare quest'ultima come filtro durante l'esplorazione del Catalogo dei ruoli.

Se una richiesta di assegnazione del ruolo necessita dell'approvazione, la definizione del ruolo specifica i dettagli sul processo di workflow utilizzato per coordinare le approvazioni, nonché l'elenco di approvatori. Gli approvatori sono gli utenti che possono approvare o rifiutare una richiesta di assegnazione ruolo.

Separazione dei compiti

Una funzione principale del sottosistema ruoli è la possibilità di definire i vincoli di separazione dei compiti (SoD). Un vincolo di separazione dei compiti (SoD) è una regola che definisce due ruoli considerati in conflitto. I vincoli di separazione dei compiti di un'organizzazione vengono creati dai responsabili della sicurezza, che stabiliscono·questi vincoli per impedire che gli utenti vengano assegnati a ruoli in conflitto, oppure per gestire un giornale delle connessioni e tenere traccia dei casi un cui sono state consentite violazioni. In un vincolo di separazione dei compiti i ruoli in conflitto devono occupare lo stesso livello nella gerarchia dei ruoli.

Alcuni vincoli di separazione dei compiti possono essere ignorati senza approvazione, mentre altri necessitano dell'approvazione. I conflitti consentiti senza approvazione sono denominati violazioni di separazione dei compiti. I conflitti approvati sono denominati eccezioni approvate di separazione dei compiti. Il sottosistema di ruoli non necessita di approvazioni per le violazioni di separazione dei compiti che derivano da assegnazioni indirette, come ad esempio l'appartenenza a un gruppo o container, o relazioni fra i ruoli.

Se per un conflitto di separazione dei compiti è necessaria l'approvazione, la definizione del vincolo specifica i dettagli sul processo di workflow utilizzato per coordinare le approvazioni, nonché l'elenco di approvatori. Gli approvatori sono gli utenti che possono approvare o rifiutare un'eccezione del vincolo di separazione dei compiti (SoD). Durante la configurazione del sottosistema ruoli viene definito un elenco di default. È tuttavia possibile ignorare questo elenco nella definizione di un vincolo di separazione dei compiti (SoD).

Generazione di rapporti e revisione di ruoli

Il sottosistema ruoli include una funzione avanzata di generazione rapporti per consentire ai revisori di analizzare il Catalogo dei ruoli, nonché lo stato attuale delle assegnazioni dei ruoli e dei vincoli, delle violazioni e delle eccezioni del vincolo di separazione dei compiti. La funzione di generazione di rapporti dei ruoli consente ai revisori dei ruoli e agli amministratori del modulo dei ruoli di visualizzare i seguenti tipi di rapporti in formato PDF:

  • Rapporto elenco ruoli

  • Rapporto dettagli ruolo

  • Rapporto assegnazione ruoli

  • Rapporto vincolo di separazione dei compiti

  • Rapporto eccezione e violazione vincolo di separazione dei compiti

  • Rapporto ruoli utente

  • Rapporto autorizzazioni utente

Oltre che per fornire le informazioni mediante la funzione di generazione rapporti, è possibile configurare il sottosistema ruoli per registrare gli eventi in Novell® Audit.

Sicurezza dei ruoli

Il sottosistema ruoli utilizza un gruppo di ruoli di sistema per proteggere l'accesso alle funzioni nella scheda Ruoli. Ogni azione di menu nella scheda Ruoli è mappata a uno o più ruoli di sistema. Se un utente non è membro di uno dei ruoli associati a un'azione, la voce di menu corrispondente non verrà visualizzata nella scheda Ruoli.

I ruoli di sistema sono ruoli amministrativi definiti automaticamente dal sistema durante l'installazione per l'attività di amministrazione delegata. Di seguito vengono riportate alcune delle modifiche.

  • Amministratore modulo dei ruoli

  • Manager dei ruoli

  • Revisore dei ruoli

  • Responsabile sicurezza

Segue un elenco dettagliato dei ruoli del sistema:

Tabella 14-1 Ruoli sistema

Ruolo

Descrizione

Amministratore modulo dei ruoli

Ruolo di sistema che consente ai membri di creare, rimuovere o modificare tutti i ruoli e concedere o revocare qualsiasi assegnazione ruolo a un utente, gruppo o container. Questo ruolo consente ai membri di eseguire qualsiasi rapporto per qualsiasi utente. Una persona con questo ruolo può effettuare·le seguenti funzioni dell'applicazione utente con un ambito illimitato:

  • Creare, rimuovere e modificare ruoli.

  • Modificare le relazioni fra i ruoli.

  • Richiedere un'assegnazione di utenti, gruppi o container ai ruoli.

  • Creare, rimuovere e modificare vincoli di separazione dei compiti.

  • Esplorare il Catalogo dei ruoli.

  • Configurare il sottosistema dei ruoli.

  • Visualizzare lo stato di tutte le richieste.

  • Ritirare richieste di assegnazione ruoli.

  • Eseguire tutti i rapporti desiderati.

Manager dei ruoli

Ruolo di sistema che consente ai membri di modificare i ruoli e le relazioni fra i ruoli, nonché concedere o revocare le assegnazioni dei ruoli per gli utenti. Una persona con questo ruolo può effettuare·le seguenti funzioni nell'applicazione utente ed è limitata nell'ambito dai diritti di esplorazione della directory per gli oggetti ruolo:

  • Creare nuovi ruoli e modificare quelli esistenti per i quali l'utente dispone dei diritti di esplorazione.

  • Modificare le relazioni fra i ruoli per i quali l'utente dispone dei diritti di esplorazione.

  • Richiedere l'assegnazione di utenti, gruppi o container ai ruoli per i quali l'utente dispone dei diritti di esplorazione.

  • Sfogliare il Catalogo dei ruoli (limitato nell'ambito dai diritti di esplorazione).

  • Sfogliare richieste di assegnazione ruoli per utenti, gruppi e container (limitato nell'ambito dai diritti di esplorazione directory per gli oggetti ruolo, utente, gruppo e container).

  • Ritirare richieste di assegnazione ruoli per utenti, gruppi e container (limitato nell'ambito dai diritti di esplorazione directory per gli oggetti ruolo, utente, gruppo e container).

Revisore dei ruoli

Ruolo di sistema che consente ai membri di eseguire qualsiasi rapporto per il quale dispongono dei diritti di esplorazione directory.

Responsabile sicurezza

Ruolo di sistema che consente ai membri di creare, rimuovere o modificare i vincoli di separazione dei compiti. Il Responsabile sicurezza deve disporre dei diritti di esplorazione per i vincoli di separazione dei compiti.
Utente autenticato

Il Sottosistema ruoli, oltre a supportare i ruoli di sistema, consente l'accesso agli utenti autenticati. Un utente autenticato è un utente collegato all'applicazione utente, che non usufruisce di privilegi speciali mediante l'appartenenza a un ruolo di sistema. Un tipico utente autenticato può eseguire una qualunque delle seguenti funzioni:

  • Visualizzare tutti i ruoli assegnati all'utente.

  • Richiedere un'assegnazione, solo per se stesso, ai ruoli per i quali dispone dei diritti di esplorazione.

  • Visualizzare lo stato delle richieste di cui l'utente in questione è richiedente o destinatario.

  • Ritirare le richieste di assegnazione ruolo di cui l'utente specificato è sia richiedente sia destinatario.

Driver del servizio del ruolo

Il sottosistema ruoli utilizza il driver del servizio del ruolo per gestire l'elaborazione back end dei ruoli. Gestisce, ad esempio, tutte le assegnazioni dei ruoli, avvia i workflow per le richieste di assegnazione dei ruoli e i conflitti di separazione dei compiti che necessitano delle approvazioni, nonché le assegnazioni indirette dei ruoli in base all'appartenenza al gruppo e al container e quella nei ruoli correlati. Il driver consente inoltre di concedere e revocare le autorizzazioni per gli utenti in base alle relative appartenenze ai ruoli ed esegue le procedure di pulizia per le richieste completate.

Per informazioni dettagliate sul driver del servizio del ruolo, vedere Applicazione utente Identity Manager: Guida all'amministrazione.