Novell Doc: User Application версии 3.6, модуль доступа к информации на основе ролей. Руководство пользователя

14.1 О вкладке "Роли"

Назначение вкладки Роли — сделать более удобным выполнение операций персонифицированного доступ к информации с учетом ролей. Эти операции позволяют Вам управлять определениями и назначениями ролей в рамках Вашей организации. Назначения ролей можно сопоставить ресурсам в масштабах компании, таким как учетные записи пользователей, компьютеры и базы данных. Например, вкладку Роли можно использовать для выполнения следующих действий.

Делать запросы ролей для себя или для других пользователей в вашей организации
Создавать роли и отношения ролей в пределах иерархии ролей
Создавать ограничения разделения обязанностей (SoD) для управления возможными конфликтами между назначениями ролей
Просматривать отчеты, в которых приводятся сведения о текущем состоянии каталога ролей и о ролях, назначенных в данный момент пользователям, группам и контейнерам.

Если запрос на назначение роли требует разрешения одного или нескольких должностных лиц предприятия, запускается рабочий процесс. Рабочий процесс координирует подтверждения, необходимые для выполнения запроса. Некоторые запросы назначения роли требуют подтверждения одним должностным лицом; другие — подтверждения несколькими должностными лицами. В некоторых случаях запрос может быть выполнен без каких-либо подтверждений.

Если в результате выполнения запроса назначения роли может возникнуть потенциальный конфликт разделения обязанностей, у инициатора запроса есть возможность переопределить ограничение на разделение обязанностей и предоставить обоснование тому, чтобы для ограничения было сделано исключение. В некоторых случаях конфликт разделения обязанностей может стать причиной запуска рабочего процесса. Рабочий процесс координирует подтверждения, необходимые для того, чтобы разрешить использование исключения в разделении обязанностей.

За настройку содержания вкладки Роли для Вас и других пользователей Вашего предприятия отвечают проектировщик рабочего процесса и системный администратор. Схема управления для рабочего процесса с учетом ролей или рабочего процесса разделения обязанностей, а также внешний вид форм, могут варьироваться в зависимости от того, как определение подтверждения для рабочего процесса было сформулировано в модуле "Проектировщик для Identity Manager". Кроме того, то, что пользователь может видеть и делать, обычно определяется его должностными обязанностями и уровнем полномочий.

Режим доверенного лица работает только на вкладке Запросы и подтверждения и не поддерживается на вкладке Роли. Если на вкладке Запросы и подтверждения Вы переключились в режим доверенного лица, а затем перешли на вкладку Роли, то для обеих вкладок этот режим будет отключен.

14.1.1 О ролях

Этот раздел содержит обзор терминов и понятий, используемых во вкладке Роли.

Роли и назначения ролей

Роль определяет набор полномочий, связанных с одним или несколькими целевыми системами или приложениями. Вкладка Роли позволяет пользователям запрашивать назначения роли, которые представляют собой связь между ролью и пользователем, группой или контейнером. Кроме того, при помощи вкладки Роли Вы можете определять отношения ролей, т. е. устанавливать связи между ролями в иерархии ролей.

Вы можете назначить пользователю роль непосредственно, в этом случае прямые назначения предоставляют пользователю явный доступ к полномочиям, связанным с ролью. Вы также можете определить косвенные назначения, когда пользователи получают роли благодаря своей принадлежности к группе, контейнеру или связанной роли в иерархии ролей.

При запросе назначения роли у Вас есть возможность определить дату вступления в действие, которая указывает дату и время вступления назначения в силу. Если оставить данное значение пустым, это будет означать, что требуется немедленное назначение.

Вы можете также определить дату окончания срока действия, которая указывает дату и время автоматической отмены назначения.

Жизненным циклом пользовательских запросов назначения ролей управляет подсистема ролей. Чтобы увидеть, какие действия по запросу были предприняты пользователями или подсистемой ролей, вы можете проверить состояние запроса на странице "Просмотр состояния запроса".

Справочник ролей и иерархия ролей

Прежде чем роли можно будет назначать, их необходимо определить в справочнике ролей. Справочник ролей - это репозиторий для хранения определений всех ролей и поддержки данных, нужных подсистеме ролей. Чтобы настроить справочник ролей, администратор модуля ролей (или менеджер ролей) определяет роли и их иерархию.

Иерархия ролей устанавливает отношения между ролями справочника. Определяя отношения ролей, вы можете упростить задачу предоставления полномочий при назначении ролей. Например, вместо назначения 50 отдельных медицинских ролей всякий раз, когда сотрудником Вашей организации становится новый врач, вы можете определить роль "Врач" и указать отношение между ролью "Врач" и каждой из медицинских ролей. Назначая пользователям роль "Врач", Вы сможете предоставлять им полномочия, предусмотренные каждой из связанных медицинских ролей.

Иерархия ролей поддерживает три уровня. Роли, определенные на самом верхнем уровне (они называются бизнес-ролями), задают операции, имеющие смысл для бизнеса в рамках организации. Роли среднего уровня (или ИТ-роли) поддерживают технологические функции. Роли, определенные на самом нижнем уровне (это роли-разрешения), задают привилегии низкого уровня. Следующий пример демонстрирует образец иерархии ролей с тремя уровнями для медицинской организации. Самый верхний уровень иерархии показан слева, а самый нижний - справа:

Рисунок 14-1 Образец иерархии ролей

Роль более высокого уровня автоматически включает в себя привилегии ролей нижележащих уровней, которые она содержит. Например, бизнес-роль автоматически включает привилегии ИТ-ролей, которые она содержит. Аналогично, ИТ-роль автоматически включает привилегии ролей-разрешений, которые входят в ее состав.

Отношения между ролями одного уровня не допускаются. Кроме того, роли более низкого уровня не могут содержать роли более высокого уровня.

Определяя роль, Вы можете, при необходимости, назначить ей одного или нескольких владельцев. Владелец роли - это пользователь, назначенный владельцем определения роли. При формировании отчетов, связанных со справочником ролей, можно использовать фильтр с учетом владельца роли. Владелец роли не получает автоматически права на внесение изменений в определение роли. В некоторых случаях владелец должен запросить администратора ролей выполнить какие-либо административные действия в отношении роли.

Определяя роль, Вы можете, при необходимости, связать ее с одной или несколькими категориями ролей. Категория ролей позволяет систематизировать роли с целью организации системы ролей. После установления связи роли с категорией Вы можете использовать эту категорию как фильтр при просмотре справочника ролей.

Если запрос на назначение роли требует утверждения, в определении роли приводится подробное описание рабочего процесса, который используется для координации утверждений, а также список утверждающих. Утверждающие - это пользователи, имеющие право утвердить или отклонить запрос на назначение роли.

Разделение обязанностей

Ключевая особенность подсистемы ролей - ее способность определять ограничения разделения обязанностей (SoD). Ограничение разделения обязанностей (SoD) - это правило, определяющее две роли, которые рассматриваются как конфликтующие. Ограничения разделения обязанностей в рамках организации создают сотрудники системы безопасности. Определяя ограничения SoD, эти сотрудники могут предотвратить назначение пользователям конфликтующих ролей или обеспечить аудиторскую трассировку для отслеживания ситуаций, когда нарушения были санкционированы. Ограничение разделения обязанностей требует, чтобы конфликтующие роли находились на одном уровне иерархии ролей.

Некоторые ограничения разделения обязанностей можно переопределить без утверждения, тогда как другим оно необходимо. Конфликты, санкционированные без утверждения, называются нарушениями разделения обязанностей. Утвержденные конфликты называютсяисключениями разделения обязанностей. Подсистема ролей не требует утверждений для нарушений SoD, возникших в результате косвенных назначений ролей, например благодаря принадлежности к группе или контейнеру либо отношению ролей.

Если ограничение разделения обязанностей требует утверждения, в определении ограничения приводится подробное описание рабочего процесса, который используется для координации утверждений, а также список утверждающих. Утверждающие - это пользователи, имеющие право утвердить или отклонить исключение SoD. Список по умолчанию определяется как составная часть конфигурации подсистемы ролей. Однако в ограничении SoD этот список можно переопределить.

Отчеты и аудит ролей

Подсистема ролей предоставляет широкие возможности для формирования отчетности, чтобы помочь аудиторам при анализе справочника ролей и текущего состояния назначения ролей, а также ограничений, нарушений и исключений SoD. Средство отчетности для ролей позволяет аудиторам ролей и администраторам модуля ролей отобразить в формате PDF следующие типы отчетов:

Отчет по списку ролей
Отчет о деталях ролей
Отчет о назначении ролей
Отчет об ограничениях SoD
Отчет о нарушениях и исключениях SoD
Отчет о пользовательских ролях
Отчет о полномочиях пользователей

В дополнение к предоставлению сведений при помощи средства отчетности, подсистему ролей можно настроить на регистрацию событий в Novell® Audit.

Безопасность ролей

Для обеспечения безопасного доступа к функциям в рамках вкладки Роли подсистема ролей использует набор системных ролей. Каждое действие меню на вкладке Роли сопоставлено одной или нескольким системным ролям. Если пользователь не имеет отношения к одной из ролей, связанных с действием, то на вкладке Роли соответствующий элемент меню отображаться не будет.

Системные роли - это административные роли, которые автоматически определяются во время установки с целью обеспечения делегирования административных функций. В них входят следующие элементы:

Администратор модуля ролей
Менеджер ролей
Аудитор ролей
Сотрудник системы безопасности

Ниже приводится подробное описание системных ролей:

Таблица 14-1 Системные роли

Роль	Описание
Администратор модуля ролей	Системная роль, позволяющая участникам создавать, удалять или изменять все роли, а также предоставлять или отзывать назначение любых ролей любому пользователю, группе или контейнеру. Кроме того, эта роль позволяет участникам формировать любой отчет для любого пользователя. Пользователю, которому назначена эта роль, доступно неограниченное выполнение следующих функций User Application: Создание, удаление и изменение ролей. Изменение отношений для ролей. запрос на назначение ролей пользователям, группам или контейнерам. Создание, удаление и изменение ограничений SoD. Просмотр справочника ролей. Настройка подсистемы ролей. Просмотр состояния всех запросов. Отзыв запросов назначения ролей. Формирование любых отчетов.
Менеджер ролей	Системная роль, позволяющая участникам изменять роли и отношения ролей, а также предоставлять или отзывать назначение ролей пользователям. Пользователь с этой ролью может выполнять следующие функции User Application, ограниченные рамками прав на просмотр каталога для объектов роли: Создавать новые и изменять существующие роли, для которых у пользователя есть права на просмотр. Изменять отношения ролей, для которых у пользователя есть права на просмотр. Запрашивать для пользователей, групп или контейнеров назначение ролей, для которых у пользователя есть права на просмотр. Просматривать справочник ролей (с ограничениями, определяемыми правами на просмотр). Просматривать запросы назначения ролей для пользователей, групп или контейнеров (с ограничениями, определяемыми правами на просмотр каталога для объектов роли, пользователя, группы или каталога). Отзывать запросы назначения ролей для пользователей, групп или контейнеров (с ограничениями, определяемыми правами на просмотр каталога для объектов роли, пользователя, группы или каталога).
Аудитор ролей	Системная роль, позволяющая участникам формировать любые отчеты, для которых у них есть права на просмотр каталога.
Сотрудник системы безопасности	Системная роль, позволяющая участникам создавать, удалять или изменять ограничения SoD. У сотрудника системы безопасности должны быть права на просмотр для ограничений SoD.

Пользователь, проверенный на подлинность

Помимо поддержки системных ролей, подсистема ролей обеспечивает также доступ пользователям, проверенным на подлинность. Пользователь, проверенный на подлинность, - это пользователь, зарегистрировавшийся в User Application, но не имеющий каких-либо специальных привилегий системной роли. Обычный пользователь, проверенный на подлинность, может выполнять любые из следующих функций:

Просматривать все назначенные ему роли.
Запрашивать назначение (только для себя) ролей, для которых у него или у нее есть права на просмотр.
Просматривать состояние тех запросов, для которых он или она являются инициатором или получателем.
Отзывать те запросы назначения ролей, для которых он или она являются одновременно и инициатором, и получателем.

Драйвер службы ролей

Для управления фоновой обработкой ролей подсистема ролей использует драйвер службы ролей. Например, он управляет всеми назначениями ролей, запускает рабочие процессы для запросов назначения ролей и конфликтов SoD, требующих утверждения, обслуживает косвенные назначения ролей в соответствии с принадлежностью к группе или контейнеру, а также к связанным ролям. Кроме того, драйвер предоставляет и отзывает полномочия пользователей с учетом их отношений к ролям, а также выполняет процедуры очистки для выполненных запросов.

Подробные сведения о драйвере службы ролей см.: Identity Manager User Application: Руководство по администрированию