Syftet med fliken
är att ge dig ett enkelt sätt att utföra rollbaserade logistikåtgärder. De här åtgärderna gör att du kan hantera såväl rolldefinitioner och rolltilldelningar som resursdefinitioner och resurstilldelningar i organisationen. Rolltilldelningar kan mappas till resurser inom ett företag, till exempel användarkonton, datorer och databaser. Resurser kan även tilldelas direkt till användare. Du kan till exempel använda fliken för att:Göra roll- och resursbeställningar för dig själv eller andra användare i organisationen
skapa roller och rollrelationer i rollhierarkin
skapa begränsningar vid SoD för att hantera möjliga konflikter mellan rolltilldelningar
visa rapporter med information om status för rollkatalogen och de roller som är tilldelade användare, grupper och enheter.
När en roll- eller resurstilldelningsbeställning kräver tillstånd från en eller flera individer i organisationen startas en arbetsgång. Med arbetsgången koordineras tillstånden som krävs för att beställningen ska kunna uppfyllas. För vissa tilldelningsbeställningar krävs godkännande från en enda person, för andra krävs godkännande från flera personer. I vissa fall kan en beställning uppfyllas utan några tillstånd.
Om en beställning om rolltilldelning leder till en potentiell SoD-konflikt har initieraren möjlighet att åsidosätta SoD-begränsningen och ge ett berättigande till undantaget från begränsningen. I vissa fall kan en SoD-konflikt leda till att en arbetsgång startas. Med arbetsgången koordineras godkännandena som krävs för att SoD-undantaget ska kunna verkställas.
Den som har skapat arbetsgången och systemadministratören har ansvar för att innehållet på fliken
ställs in för dig och andra i organisationen. Kontrollflödet för en arbetsgång samt hur formulären ser ut kan variera beroende på hur godkännandedefinitionen för arbetsgången har definierats i Designer för Identity Manager. Vad du kan se och göra avgörs dessutom vanligtvis av kraven för ditt arbete och din behörighetsnivå.I det här avsnittet visas en översikt över termer och begrepp som används på fliken
:En roll anger en uppsättning behörigheter som är relaterade till ett eller flera målsystem eller program. På fliken kan användarna beställa rolltilldelningar, som är associationer mellan en roll och en användare, grupp eller enhet. På fliken kan du även definiera rollrelationer som skapar associationer mellan roller i rollhierarkin.
Du kan tilldela roller direkt till en användare. Då ger dessa direkttilldelningar användaren explicit tillgång till behörigheterna som associeras med rollen. Du kan även definiera indirekta tilldelningar, som gör det möjligt för användare att tilldelas roller genom medlemskap i en grupp, en enhet eller en relaterad roll i rollhierarkin.
När du beställer en rolltilldelning kan du definiera ett första giltighetsdatum för rolltilldelningen. Det anger datum och tid när tilldelningen börjar gälla. Om du lämnar det här värdet tomt innebär det att tilldelningen börjar gälla direkt.
Du kan även definiera ett förfallodatum för rolltilldelning, som anger datum och tid när tilldelningen automatiskt tas bort.
När en användare beställer en rolltilldelning hanterar undersystemet för roller och resurser livscykeln för rollbeställningen. Om du vill se vilka åtgärder som har utförts efter beställning av användare eller av själva undersystemet kan du kontrollera status för beställningen på fliken
i .Innan användarna kan börja tilldela roller måste rollerna definieras i
. är lagringsplatsen för alla rolldefinitioner och data som används av undersystemet för roller och resurser. konfigureras genom att en rollmoduladministratör (eller rollhanterare) definierar rollerna och rollhierarkin.Med hjälp av rollhierarkin skapas relationer mellan rollerna i katalogen. Genom att definiera rollrelationer kan du göra det enklare att godkänna behörigheter med hjälp av rolltilldelningar. I stället för att till exempel tilldela 50 separata medicinska roller varje gång en läkare börjar arbeta på företaget kan du definiera rollen Läkare och ange en rollrelation mellan rollen Läkare och var och en av de medicinska rollerna. Genom att tilldela användare till rollen Läkare kan du ge dessa användare behörigheterna som har definierats för var och en av de relaterade medicinska rollerna.
Rollhierarkin har stöd för tre nivåer. Roller som definieras på den högsta nivån (företagsroller) definierar åtgärder som har betydelse inom företaget. Roller på mellannivå (IT-roller) har stöd för teknikfunktioner. Roller som definieras på den lägsta nivån i hierarkin (behörighetsroller) definierar behörigheter på låg nivå. I exemplet nedan visas en rollhierarki med tre nivåer för ett sjukhus. Den högsta nivån för hierarkin visas till vänster och den lägsta nivån visas till höger:
Figur 15-1 Exempel på rollhierarki
En roll på högre nivå innehåller automatiskt behörigheter från rollerna på lägre nivå som ingår i den. Exempelvis innehåller en företagsroll automatiskt behörigheterna i IT-rollerna som ingår i den. På samma sätt innehåller en IT-roll automatiskt behörigheterna i behörighetsrollen som ingår i den.
Rollrelationer är inte tillåtna mellan roller på samma nivå inom hierarkin. Roller på lägre nivå får inte heller innehålla roller på högre nivå.
När du definierar en roll kan du om du vill ange en eller flera ägare för rollen. En rollägare är en användare som har angetts som rolldefinitionens ägare. När du genererar rapporter mot rollkatalogen kan du filtrera rapporterna baserat på rollägare. Rollägaren har inte automatiskt behörighet att utföra ändringar i en rolldefinition. I vissa fall måste rollägaren be en rolladministratör att utföra administratörsåtgärder för rollen.
När du definierar en roll kan du om du vill associera rollen med en eller flera rollkategorier. Med en rollkategori kan du kategorisera roller så att det går att organisera rollsystemet. När en roll har associerats med en kategori kan du använda denna kategori som ett filter när du bläddrar i rollkatalogen.
Om en beställning om rolltilldelning måste godkännas anger rolldefinitionen information om arbetsgångsprocessen som används till att koordinera godkännanden, samt listan med godkännare. Godkännare är personer som kan godkänna eller avslå en beställning om rolltilldelning.
En nyckelfunktion i undersystemet för roller och resurser är möjligheten att definiera SoD-begränsningar. En SoD-begränsning är en regel som definierar två roller som anses stå i konflikt med varandra. Personer som är säkerhetsansvariga skapar SoD-begränsningar för ett företag. Genom att definiera SoD-begränsningar kan de säkerhetsansvariga personerna förhindra att användare tilldelas till roller som står i konflikt med varandra, eller hantera ett spårningsregister så att det går att granska situationer där överträdelser har tillåtits. I en SoD-begränsning måste rollerna som står i konflikt mot varandra vara på samma nivå i rollhierarkin.
Vissa SoD-begränsningar kan åsidosättas utan godkännande, medan andra kräver ett godkännande. Konflikter som tillåts utan godkännande kallas SoD-överträdelser. Konflikter som har godkänts kallas godkända SoD-undantag. I undersystemet för roller och resurser krävs inte godkännanden för SoD-överträdelser som beror på indirekta tilldelningar, till exempel medlemskap i en grupp eller enhet, eller rollrelationer.
Om en SoD-konflikt måste godkännas anger begränsningsdefinitionen information om arbetsgångsprocessen som används till att koordinera godkännanden, samt listan med godkännare. Godkännare är personer som kan godkänna eller avslå ett SoD-undantag. En standardlista definieras som en del av konfigurationen för undersystemet för roller och resurser. Det går dock att åsidosätta listan i definitionen av en SoD-begränsning.
I undersystemet för roller och resurser finns användbara rapportfunktioner som underlättar för granskare att analysera rollkatalogen, samt aktuell status för rolltilldelningar och SoD-begränsningar, överträdelser och undantag. Med funktionerna för rollrapportering kan rollgranskare och administratörer av rollmodulen visa följande rapporttyper i PDF-format:
Rapport: rollista
Rapport: rollinformation
Rapport: rolltilldelning
Rapport: begränsningar vid SoD
Rapport: överträdelser och undantag vid SoD
Rapport: användarroller
Rapport: användarrättigheter
Förutom att ge information via rapporteringsfunktionen kan undersystemet för roller och resurser konfigureras för att logga händelser till Novell- och OpenXDAS-granskningsklienter.
I undersystemet för roller och resurser används en uppsättning systemroller för att ge säker åtkomst till funktionerna på fliken
. Alla menyåtgärder på fliken är mappade till en eller flera systemroller. Om en användare inte är medlem av någon av rollerna som är associerade med en åtgärd visas inte motsvarande menyalternativ på fliken .Systemroller är administrativa roller som automatiskt definieras av system vid installationen. De används till att delegera administrationen. Systemrollerna är bland annat:
Rolladministratör
Rollhanterare
Systemrollerna beskrivs i detalj nedan.
Tabell 15-1 Systemroller
Underssystemet för roller och resurser stödjer systemrollerna och ger även autentiserade användare åtkomst. En autentiserad användare är en användare som är inloggad i användarprogrammet och som inte har några särskilda privilegier från medlemskap i en säkerhetsroll. En typisk autentiserad användare kan utföra alla följande funktioner:
Visa alla roller som har tilldelats till användaren.
Beställa tilldelningar (endast för sig själv) till roller som han eller hon har bläddringsrättigheter till.
Visa beställningsstatus för beställningar som han eller hon är antingen beställare eller mottagare för.
Återkalla beställningar om rolltilldelningar för beställningar som han eller hon är både beställare och mottagare för.
Undersystemet för roller och resurser använder drivrutinen för roll- och resurstjänsten till att hantera bakgrundsbehandling av roller. Exempelvis hanterar det alla rolltilldelningar, startar arbetsgångar för beställningar om rolltilldelningar och SoD-konflikter samt upprätthåller indirekta rolltilldelningar enligt medlemskap i grupper och enheter, samt medlemskap i relaterade roller. Med drivrutinen beviljas och återkallas även rättigheter för användare baserat på deras rollmedlemskap, och rensningsprocedurer utförs för beställningar som har slutförts.
När rättigheter ändras för en resurs. Om du ändrar rättigheten för en befintlig resurs ges inte den nya rättigheten till användare som för tillfället har tilldelats resursen. Om du vill bevilja den nya rättigheten måste du ta bort resursen från användarna som behöver rättigheten och tilldela den till dem på nytt.
Mer information om drivrutinen för roll- och resurstjänsten finns i Användarprogrammet Identity Manager: Administrationshandbok.
I det här avsnittet ges en översikt av termer och begrepp som används i användarprogrammet:
Syftet med resursfunktionerna i användarprogrammet är att ge dig ett enkelt sätt att utföra resursbaserade logistikåtgärder. Med åtgärderna kan du hantera resursdefinitioner och resurstilldelningar inom organisationen. Resurstilldelningar kan mappas till användare eller roller i ett företag. Du kan till exempel använda resurser för att:
göra resursbeställningar för dig själv eller för andra användare i företaget
skapa resurser och mappa dem till rättigheter
När en resurstilldelningsbeställning kräver tillstånd från en eller flera individer i organisationen startas en arbetsgång. Med arbetsgången koordineras tillstånden som krävs för att beställningen ska kunna uppfyllas. För vissa resurstilldelningsbeställningar krävs godkännande från en enda person, för andra krävs godkännande från flera personer. I vissa fall kan en beställning uppfyllas utan några tillstånd.
Följande företagsregler styr resursernas funktion i användarprogrammet:
Resurser kan bara tilldelas till en användare. Det här hindrar inte att en resurs beviljas till användare i en enhet eller grupp som baseras på implicit rolltilldelning. Resurstilldelningen blir dock bara associerad med en användare.
Resurser kan tilldelas på något av följande sätt:
Direkt av en användare genom gränssnittsmekanismer
Genom en logistikbeställning
Genom en rollbeställningstilldelning
Genom ett Rest- eller SOAP-gränssnitt
Samma resurs kan beviljas till en användare flera gånger (om den här funktionen har aktiverats i resursdefinitionen).
En resursdefinition kan bara ha en rättighet bunden till sig.
En resursdefinition kan ha en eller flera samma rättighetsreferenser bundna till sig. Den här funktionen ger stöd för rättigheter där rättighetsparametrarna representerar logistikkonton eller behörigheter i det anslutna systemet.
Parametrar för rättighets- och beslutsstöd kan anges vid tidpunkten för utformningen (statiskt) eller vid tidpunkten för beställningen (dynamiskt).
Den som har skapat arbetsgången och systemadministratören har ansvar för att användarprogrammet ställs in för dig och andra i organisationen. Kontrollflödet för en resursbaserad arbetsgång samt hur formulären ser ut kan variera beroende på hur godkännandedefinitionen för arbetsgången har definierats i Designer för Identity Manager. Vad du kan se och göra avgörs dessutom vanligtvis av kraven för ditt arbete och din behörighetsnivå.
En
är en digital enhet, till exempel ett användarkonto, en dator eller en databas som en företagsanvändare behöver för åtkomst. Användarprogrammet är ett praktiskt sätt för slutanvändare att beställa de resurser de behöver. Dessutom innehåller användarprogrammet verktyg som administratörer kan använda för att definiera resurser.Varje resurs är mappad till en rättighet. En resursdefinition kan bara ha en rättighet bunden till sig. En resursdefinition kan vara bunden till samma rättighet mer än en gång, med olika rättighetsparametrar för varje resurs.
Resurser kan endast tilldelas till användare. De kan inte tilldelas grupper eller enheter. Om en roll är tilldelad en grupp eller enhet kan användarna i gruppen eller enheten automatiskt beviljas åtkomst till de resurser som är associerade med rollen.
Resursbeställningar kan behöva godkännas. Godkännandeprocessen för en resurs kan hanteras av en logistikbeställningsdefinition eller av ett externt system genom att statuskoden anges på resursbeställningen.
Om en beviljad resursbeställning initieras av en rolltilldelning är det möjligt att resursen inte beviljas, även om rollen är tillhandahållen. Den troligaste orsaken är att nödvändiga godkännanden saknas.
En resursbeställning kan bevilja en resurs till en användare eller återkalla en resurs från en användare.
Användarprogrammet använder drivrutinen för roll- och resurstjänster för att hantera bakgrundsbehandling av resurser. Det hanterar till exempel alla resursbeställningar, startar arbetsgångar för resursbeställningar och initierar logistikprocessen för resursbeställningar.