Novell Doc: User Application версии 3.6, модуль доступа к информации на основе ролей. Руководство пользователя

1.1 Identity Manager и пользователь

Novell® Identity Manager — это продукт системного ПО, используемый на уровне предприятия для организации безопасного доступа сообщества пользователей к защищенным ресурсам. Члены этого сообщества, используя Identity Manager, получают определенные преимущества. Например, Identity Manager дает предприятию следующие возможности.

Предоставлять пользователям доступ к информации (например, группы структурных схем, адресные справочники отделов или поиск сотрудников) и ресурсам (например, оборудование или учетные записи во внутренних системах), в которых они нуждаются, буквально с первого дня.
Синхронизировать несколько паролей с одним именем пользователя для всех систем.
При необходимости оперативно изменять или отзывать права на доступ (например, при переходе сотрудника в другую группу или при увольнении).
Поддерживать соответствие правительственным постановлениям.

Чтобы Вы и Ваша группа могли воспользоваться этими преимуществами, пакет Identity Manager User Application предоставляет пользовательский интерфейс, доступный из веб-навигатора.

1.1.1 Введение в Identity Manager User Application

Identity Manager User Application — это средство доступа к информации, ресурсам и возможностям Identity Manager. Детали того, что пользователь сможет увидеть и сделать в Identity Manager User Application, определяются системным администратором. Обычно сюда включаются следующие возможности.

Самообслуживание учетной записи, позволяющее:
- отображать структурные схемы;
- сообщать о приложениях, связанных с пользователем, если Вы - администратор. (Требуется наличие модуля персонифицированного доступа к информации Identity Manager с учетом ролей.);
- изменять данные профиля;
- выполнять поиск в каталоге;
- изменять пароль, ответ на запрос-ответ пароля и его подсказку;
- просматривать состояние политики и синхронизации пароля;
- создавать учетные записи для новых пользователей и групп (при наличии соответствующих полномочий).
Запросы и утверждение, позволяющие:
- запрашивать ресурсы;
- проверять подтверждения запросов на ресурсы;
- работать с назначенными Вам задачами подтверждения других запросов на ресурсы;
- выполнять запросы и утверждение в качестве чьего-либо доверенного лица или делегата;
- назначать кого-либо еще доверенным лицом или делегатом (при наличии соответствующих полномочий);
- управлять всеми этими функциями запросов и подтверждений в интересах Вашей группы (при наличии соответствующих полномочий);
- при необходимости для каждого запроса или подтверждения предоставлять цифровую подпись.
ПРИМЕЧАНИЕ.Для запросов и подтверждений необходим модуль персонифицированного доступа к информации Identity Manager с учетом ролей.
Роли, позволяющие выполнять следующие действия:
- запрашивать назначение ролей и управлять процессом подтверждения запросов на назначение ролей;
- проверять состояние Ваших запросов ролей;
- определять роли и их взаимоотношения;
- определять ограничения разделения обязанностей (SoD) и управлять процессом подтверждения в случаях, когда пользователь запрашивает переопределение ограничения;
- просматривать справочник ролей;
- просматривать подробные отчеты, в которых перечислены роли и ограничения разделения обязанностей, определенные в справочнике, а также текущее состояние назначения ролей, исключения разделения обязанностей и полномочия пользователя.
ПРИМЕЧАНИЕ.Для ролей необходим модуль персонифицированного доступа к информации Identity Manager с учетом ролей.

1.1.2 Большой рисунок

Рисунок 1-1 IDM User Application предоставляет пользовательский интерфейс к Identity Manager

1.1.3 Типовое использование

Здесь приведены некоторые примеры обычного применения пакета Identity Manager User Application в рамках предприятия.

Работа с cамообслуживанием учетной записи

Элла (конечный пользователь) при помощи функций самообслуживания учетной записи восстанавливает забытый пароль для входа в систему.
Эрик (конечный пользователь) выполняет поиск всех сотрудников своего офиса, говорящих по-немецки.
Эдуардо (конечный пользователь) просматривает структурную схему, находит Эллу и щелкает значок электронной почты, чтобы отправить ей сообщение.

Работа с запросами и подтверждениями

Эрни (конечный пользователь) просматривает список доступных ему ресурсов и делает запрос на доступ к системе Siebel^*.
Эмма (утверждающий) получает по электронной почте уведомление (содержащее URL-адрес) о запросе, требующем подтверждения. Она щелкает ссылку, получает форму подтверждения и с ее помощью подтверждает запрос.
Эрни проверяет состояние сделанного им ранее запроса на доступ к Siebel (который в этот момент передан на подтверждение следующему сотруднику). Он видит, что запрос все еще выполняется.
Эмма собирается в отпуск, поэтому указывает, что временно она будет отсутствовать. На время ее отсутствия новые задачи подтверждения ей не назначаются.
Эмма открывает список своих задач подтверждения; видит, что их слишком много, чтобы обработать своевременно; и передает некоторые из них своим сотрудникам.
Пэт (ассистент администрации, действующий как доверенное лица Эммы) открывает список задач Эммы и выполняет вместо нее задачи подтверждения.
Макс (менеджер) просматривает списки задач сотрудников своего отдела. Он знает, что Эмма в отпуске, поэтому перераспределяет задачи среди других сотрудников своего отдела.
Макс запрашивает из базы данных учетные записи сотрудников, подчиненных ему непосредственно.
Макс назначает Дэна на роль уполномоченного делегата Эммы.
Дэн (теперь делегат утверждающего) во время отсутствия Эммы получает ее задачи.
Макс привлекает к работе без оплаты стажера, который не будет зарегистрирован в отделе кадров. Системный администратор создает пользовательскую запись для этого стажера и делает запрос на предоставление ему доступа к Notes, Active Directory* и Oracle*.

Работа с ролями

Максин (менеджер ролей) создает бизнес-роли "Медицинская сестра" и "Врач" и ИТ-роли "Дает лекарства" и "Выписывает рецепты".
Максин (менеджер ролей) определяет отношение между ролями "Медицинская сестра" и "Дает лекарства", указывая, что в состав роли "Медицинская сестра" входит роль "Дает лекарства". Макс определяет также отношение между ролями "Выписывает рецепты" и "Врач", указывая, что роль "Выписывает рецепты" входит в состав роли "Врач".
Честер (сотрудник безопасности) определяет ограничение распределения обязанностей, в котором указано, что между ролями "Врач" и "Медицинская сестра" существует потенциальный конфликт. Он заключается в том, что одному пользователю в обычных условиях не должны назначаться обе роли одновременно. При некоторых обстоятельствах пользователь, запросивший назначение роли, возможно, пожелает переопределить это ограничение. Чтобы определить исключение при разделении обязанностей, пользователь, запросивший назначение, должен предоставить обоснование.
Эрнест (конечный пользователь) просматривает список доступных ему ролей и запрашивает назначение ему роли "Медицинская сестра".
Эмилия (утверждающий) получает по электронной почте уведомление (содержащее URL-адрес) о запросе, требующем подтверждения. Она щелкает ссылку, получает форму подтверждения и с ее помощью подтверждает запрос.
Арнольд (менеджер ролей) запрашивает назначение Эрнесту роли "Врач". Он видит, что между ролью "Врач" и ролью "Медицинская сестра", которая уже назначена Эрнесту, существует потенциальный конфликт. Арнольд предоставляет обоснование тому, чтобы для ограничения распределения обязанностей было сделано исключение.
Эдвард (утверждающий распределение обязанностей) по электронной почте получает уведомление о конфликте распределения обязанностей. Он утверждает запрос Арнольда на переопределение ограничения распределения обязанностей.
Эмилия (утверждающий) получает по электронной почте уведомление о запросе, требующем подтверждения, для роли "Врач". Она утверждает запрос Арнольда на назначение Эрнесту роли "Врач".
Билл (аудитор ролей) просматривает отчет о нарушениях и исключениях распределения обязанностей и видит, что Эрнесту назначены обе роли - и "Врач", и "Медицинская сестра".