Novell Doc: Модуль обеспечения правами доступа на основе ролей Identity Manager: руководство пользователя

1.1 Identity Manager и Вы

Novell® Identity Manager — это системное ПО, используемое Вашей организацией для безопасного управления доступом сообщества своих пользователей к ресурсам. Если Вы член этого сообщества пользователей, Identity Manager дает Вам ряд преимуществ. Например, Identity Manager позволяет предприятию:

Предоставлять пользователям доступ к информации (например, группы структурных схем, адресные справочники отделов или поиск сотрудников), а также ролям и ресурсам (например, оборудование или учетные записи во внутренних системах), в которых они нуждаются, буквально с первого дня.
Синхронизировать несколько паролей с одним именем пользователя для всех систем.
При необходимости оперативно изменять или отзывать права на доступ (например, при переходе сотрудника в другую группу или при увольнении).
Поддерживать соответствие правительственным постановлениям.

Чтобы Вы и Ваша группа могли воспользоваться этими преимуществами, приложение Identity Manager предоставляет пользовательский интерфейс, доступный из веб-навигатора.

1.1.1 Введение в Identity Manager User Application

Identity Manager User Application — это Ваш доступ к информации, ролям, ресурсам и возможностям Identity Manager. Что конкретно пользователь сможет увидеть и сделать в Identity Manager User Application, определяет системный администратор. Обычно сюда включаются следующие возможности:

Самообслуживание учетной записи, позволяющее:
- отображать структурные схемы;
- сообщать о приложениях, связанных с пользователем, если Вы — администратор. (Требуется наличие модуля обеспечения правами доступа на основе ролей Identity Manager.);
- изменять данные профиля;
- выполнять поиск в каталоге;
- изменять пароль, ответ на запрос-ответ пароля и его подсказку;
- просматривать состояние политики и синхронизации пароля;
- создавать учетные записи для новых пользователей и групп (при наличии соответствующих полномочий).
Роли, позволяющие выполнять следующие действия:
- запрашивать назначение ролей и управлять процессом подтверждения запросов на назначение ролей;
- проверять состояние Ваших запросов ролей;
- определять роли и их взаимоотношения;
- определять ограничения разделения обязанностей (SoD) и управлять процессом подтверждения в случаях, когда пользователь запрашивает переопределение ограничения;
- просматривать справочник ролей;
- просматривать подробные отчеты, в которых перечислены роли и ограничения разделения обязанностей, определенные в справочнике, а также текущее состояние назначения ролей, исключения разделения обязанностей и полномочия пользователя.
Ресурсы, которые позволяют:
- запрашивать назначение ресурсов и управлять процессом подтверждения для запросов о назначении ресурсов;
- проверять состояние запросов на ресурсы;
- просматривать справочник ресурсов.
Рабочий процесс, который позволяет:
- запрашивать настраиваемые рабочие процессы;
- проверять подтверждение Ваших запросов ролей, ресурсов и процессов;
- работать с назначенными Вам задачами подтверждения других запросов;
- выполнять запросы процессов и подтверждения в качестве доверенного лица или делегата кого-либо другого;
- назначать кого-либо еще доверенным лицом или делегатом (при наличии соответствующих полномочий);
- управлять всеми этими функциями запросов и подтверждений в интересах Вашей группы (при наличии соответствующих полномочий);
- при необходимости предоставлять цифровую подпись для каждого запроса или подтверждения.
Модуль "Соответствие" позволяет:
- запрашивать подтверждение профиля пользователя;
- запрашивать подтверждение разделения обязанностей (SoD);
- запрашивать подтверждение назначения ролей;
- запрашивать подтверждение назначения пользователя.

1.1.2 Большой рисунок

Рисунок 1-1 IDM User Application предоставляет пользовательский интерфейс для Identity Manager

1.1.3 Обычное использование

Здесь приведены некоторые примеры обычного применения приложения Identity Manager на предприятии.

Работа с самообслуживанием учетной записи

Элла (конечный пользователь) при помощи функций самообслуживания учетной записи восстанавливает забытый пароль для входа в систему.
Эрик (конечный пользователь) выполняет поиск всех сотрудников своего офиса, говорящих по-немецки.
Эдуардо (конечный пользователь) просматривает структурную схему, находит Эллу и щелкает значок электронной почты, чтобы отправить ей сообщение.

Работа с ролями и ресурсами

Максин (менеджер ролей) создает бизнес-роли "Медицинская сестра" и "Врач" и ИТ-роли "Дает лекарства" и "Выписывает рецепты". Максин создает различные ресурсы, необходимые для данных ролей, и связывает эти ресурсы с ролями.
Максин (менеджер ролей) определяет отношение между ролями "Медицинская сестра" и "Дает лекарства", указывая, что в состав роли "Медицинская сестра" входит роль "Дает лекарства". Макс также определяет отношение между ролями "Выписывает рецепты" и "Врач", указывая, что роль "Выписывает рецепты" входит в состав роли "Врач".
Честер (сотрудник службы безопасности) определяет ограничение распределения обязанностей, в котором указано, что между ролями "Врач" и "Медицинская сестра" существует потенциальный конфликт. Он заключается в том, что одному пользователю в обычных условиях не должны назначаться обе роли одновременно. В некоторых случаях пользователь, запросивший назначение роли, возможно, пожелает переопределить это ограничение. Чтобы определить исключение при разделении обязанностей, пользователь, запросивший назначение, должен предоставить обоснование.
Эрнест (конечный пользователь) просматривает список доступных ему ролей и запрашивает назначение ему роли "Медицинская сестра".
Эмилия (утверждающий пользователь) получает по электронной почте уведомление (содержащее URL-адрес) о запросе, требующем подтверждения. Она щелкает ссылку, получает форму подтверждения и с ее помощью подтверждает запрос.
Арнольд (менеджер ролей) запрашивает назначение Эрнесту роли "Врач". Он уведомляется о том, что между ролью "Врач" и ролью "Медицинская сестра", которая уже назначена Эрнесту, существует потенциальный конфликт. Арнольд предоставляет обоснование тому, чтобы для ограничения распределения обязанностей было сделано исключение.
Эдвард (пользователь, утверждающий распределение обязанностей) по электронной почте получает уведомление о конфликте распределения обязанностей. Он утверждает запрос Арнольда на переопределение ограничения распределения обязанностей.
Эмилия (утверждающий пользователь) получает по электронной почте уведомление о запросе, требующем подтверждения, для роли "Врач". Она утверждает запрос Арнольда на назначение Эрнесту роли "Врач".
Билл (аудитор ролей) просматривает отчет о нарушениях и исключениях распределения обязанностей и видит, что Эрнесту назначены обе роли — и "Врач", и "Медицинская сестра". Кроме того, он видит, что Эрнесту были назначены ресурсы, соответствующие этим ролям.

Работа с запросами процессов

Эрни (конечный пользователь) просматривает список доступных ему ресурсов и делает запрос на доступ к системе Siebel^*.
Эми (утверждающий пользователь) получает по электронной почте уведомление (содержащее URL-адрес) о запросе, требующем подтверждения. Она щелкает ссылку, получает форму подтверждения и с ее помощью подтверждает запрос.
Эрни проверяет состояние сделанного им ранее запроса на доступ к Siebel (который в этот момент передан на подтверждение следующему сотруднику). Он видит, что запрос все еще выполняется.
Эми собирается в отпуск, поэтому указывает, что временно будет отсутствовать. На время ее отсутствия новые задачи подтверждения ей не назначаются.
Эми открывает список своих задач подтверждения; видит, что их слишком много, чтобы обработать своевременно; и передает некоторые из них своим сотрудникам.
Пэт (ассистент администрации, действующий как доверенное лицо Эми) открывает список задач Эми и выполняет вместо нее задачи подтверждения.
Макс (менеджер) просматривает списки задач сотрудников своего отдела. Он знает, что Эми в отпуске, поэтому перераспределяет задачи среди других сотрудников своего отдела.
Макс запрашивает из базы данных учетные записи сотрудников, подчиненных ему непосредственно.
Макс назначает Дэна на роль уполномоченного делегата Эми.
Дэн (теперь делегат утверждающего) во время отсутствия Эми получает ее задачи.
Макс привлекает к работе без оплаты стажера, который не будет зарегистрирован в отделе кадров. Системный администратор создает пользовательскую запись для этого стажера и делает запрос на предоставление ему доступа к Notes, Active Directory* и Oracle*.

Работа с модулем "Соответствие"

Максин (менеджер ролей) создает бизнес-роли "Медицинская сестра" и "Врач" и ИТ-роли "Дает лекарства" и "Выписывает рецепты".
Максин (менеджер ролей) определяет отношение между ролями "Медицинская сестра" и "Дает лекарства", указывая, что в состав роли "Медицинская сестра" входит роль "Дает лекарства". Макс также определяет отношение между ролями "Выписывает рецепты" и "Врач", указывая, что роль "Выписывает рецепты" входит в состав роли "Врач".
Честер (сотрудник службы безопасности) определяет ограничение распределения обязанностей, в котором указано, что между ролями "Врач" и "Медицинская сестра" существует потенциальный конфликт. Он заключается в том, что одному пользователю в обычных условиях не должны назначаться обе роли одновременно. В некоторых случаях пользователь, запросивший назначение роли, возможно, пожелает переопределить это ограничение. Чтобы определить исключение при разделении обязанностей, пользователь, запросивший назначение, должен предоставить обоснование.
Арнольд (менеджер ролей) запрашивает назначение Эрнесту роли "Врач". Он уведомляется о том, что между ролью "Врач" и ролью "Медицинская сестра", которая уже назначена Эрнесту, существует потенциальный конфликт. Арнольд предоставляет обоснование тому, чтобы для ограничения распределения обязанностей было сделано исключение.
Филипп (администратор модуля "Соответствие") инициирует процесс подтверждения назначения роли "Медсестра".
Фиона (подтвердитель) получает уведомление о задаче подтверждения по электронной почте (письмом, содержащим URL-адрес). Она идет по ссылке, указанной в письме, и представляется в форме для подтверждения. Она дает утвердительный ответ на вопрос о подтверждении, тем самым подтверждая правильность сведений.
Филипп (администратор модуля "Соответствие") инициирует новый запрос на подтверждение профилей пользователей-членов группы "Сотрудники".
Каждый пользователь из группы "Сотрудники" получает по электронной почте уведомление о задаче подтверждения (в письме указан URL-адрес). Каждый пользователь идет по ссылке, указанной в письме, и представляется в форме для подтверждения. Форма дает пользователю возможность просмотреть значения различных параметров профиля. После получения информации каждый пользователь отвечает на вопрос о подтверждении.