15.1 Om fliken Roller och resurser

Syftet med fliken Roller och resurser är att ge dig ett enkelt sätt att utföra rollbaserade logistikåtgärder. De här åtgärderna gör att du kan hantera såväl rolldefinitioner och rolltilldelningar som resursdefinitioner och resurstilldelningar i organisationen. Rolltilldelningar kan mappas till resurser inom ett företag, till exempel användarkonton, datorer och databaser. Resurser kan även tilldelas direkt till användare. Du kan till exempel använda fliken Roller och resurser för att:

När en roll- eller resurstilldelningsbeställning kräver tillstånd från en eller flera individer i organisationen startas en arbetsgång. Med arbetsgången koordineras tillstånden som krävs för att beställningen ska kunna uppfyllas. För vissa tilldelningsbeställningar krävs godkännande från en enda person, för andra krävs godkännande från flera personer. I vissa fall kan en beställning uppfyllas utan några tillstånd.

Om en beställning om rolltilldelning leder till en potentiell SoD-konflikt har initieraren möjlighet att åsidosätta SoD-begränsningen och ge ett berättigande till undantaget från begränsningen. I vissa fall kan en SoD-konflikt leda till att en arbetsgång startas. Med arbetsgången koordineras godkännandena som krävs för att SoD-undantaget ska kunna verkställas.

Den som har skapat arbetsgången och systemadministratören har ansvar för att innehållet på fliken Roller och resurser ställs in för dig och andra i organisationen. Kontrollflödet för en arbetsgång samt hur formulären ser ut kan variera beroende på hur godkännandedefinitionen för arbetsgången har definierats i Designer för Identity Manager. Vad du kan se och göra avgörs dessutom vanligtvis av kraven för ditt arbete och din behörighetsnivå.

15.1.1 Om roller

I det här avsnittet visas en översikt över termer och begrepp som används på fliken Roller och resurser:

Roller och rolltilldelningar

En roll anger en uppsättning behörigheter som är relaterade till ett eller flera målsystem eller program. På fliken Roller och resurser kan användarna beställa rolltilldelningar, som är associationer mellan en roll och en användare, grupp eller enhet. På fliken Roller och resurser kan du även definiera rollrelationer som skapar associationer mellan roller i rollhierarkin.

Du kan tilldela roller direkt till en användare. Då ger dessa direkttilldelningar användaren explicit tillgång till behörigheterna som associeras med rollen. Du kan även definiera indirekta tilldelningar, som gör det möjligt för användare att tilldelas roller genom medlemskap i en grupp, en enhet eller en relaterad roll i rollhierarkin.

När du beställer en rolltilldelning kan du definiera ett första giltighetsdatum för rolltilldelningen. Det anger datum och tid när tilldelningen börjar gälla. Om du lämnar det här värdet tomt innebär det att tilldelningen börjar gälla direkt.

Du kan även definiera ett förfallodatum för rolltilldelning, som anger datum och tid när tilldelningen automatiskt tas bort.

När en användare beställer en rolltilldelning hanterar undersystemet för roller och resurser livscykeln för rollbeställningen. Om du vill se vilka åtgärder som har utförts efter beställning av användare eller av själva undersystemet kan du kontrollera status för beställningen på fliken Beställningsstatus i rollkatalogen.

Rollkatalog och rollhierarki

Innan användarna kan börja tilldela roller måste rollerna definieras i rollkatalogen. Rollkatalogen är lagringsplatsen för alla rolldefinitioner och data som används av undersystemet för roller och resurser. Rollkatalogen konfigureras genom att en rollmoduladministratör (eller rollhanterare) definierar rollerna och rollhierarkin.

Med hjälp av rollhierarkin skapas relationer mellan rollerna i katalogen. Genom att definiera rollrelationer kan du göra det enklare att godkänna behörigheter med hjälp av rolltilldelningar. I stället för att till exempel tilldela 50 separata medicinska roller varje gång en läkare börjar arbeta på företaget kan du definiera rollen Läkare och ange en rollrelation mellan rollen Läkare och var och en av de medicinska rollerna. Genom att tilldela användare till rollen Läkare kan du ge dessa användare behörigheterna som har definierats för var och en av de relaterade medicinska rollerna.

Rollhierarkin har stöd för tre nivåer. Roller som definieras på den högsta nivån (företagsroller) definierar åtgärder som har betydelse inom företaget. Roller på mellannivå (IT-roller) har stöd för teknikfunktioner. Roller som definieras på den lägsta nivån i hierarkin (behörighetsroller) definierar behörigheter på låg nivå. I exemplet nedan visas en rollhierarki med tre nivåer för ett sjukhus. Den högsta nivån för hierarkin visas till vänster och den lägsta nivån visas till höger:

Figur 15-1 Exempel på rollhierarki

En roll på högre nivå innehåller automatiskt behörigheter från rollerna på lägre nivå som ingår i den. Exempelvis innehåller en företagsroll automatiskt behörigheterna i IT-rollerna som ingår i den. På samma sätt innehåller en IT-roll automatiskt behörigheterna i behörighetsrollen som ingår i den.

Rollrelationer är inte tillåtna mellan roller på samma nivå inom hierarkin. Roller på lägre nivå får inte heller innehålla roller på högre nivå.

När du definierar en roll kan du om du vill ange en eller flera ägare för rollen. En rollägare är en användare som har angetts som rolldefinitionens ägare. När du genererar rapporter mot rollkatalogen kan du filtrera rapporterna baserat på rollägare. Rollägaren har inte automatiskt behörighet att utföra ändringar i en rolldefinition. I vissa fall måste rollägaren be en rolladministratör att utföra administratörsåtgärder för rollen.

När du definierar en roll kan du om du vill associera rollen med en eller flera rollkategorier. Med en rollkategori kan du kategorisera roller så att det går att organisera rollsystemet. När en roll har associerats med en kategori kan du använda denna kategori som ett filter när du bläddrar i rollkatalogen.

Om en beställning om rolltilldelning måste godkännas anger rolldefinitionen information om arbetsgångsprocessen som används till att koordinera godkännanden, samt listan med godkännare. Godkännare är personer som kan godkänna eller avslå en beställning om rolltilldelning.

Uppgiftsseparation

En nyckelfunktion i undersystemet för roller och resurser är möjligheten att definiera SoD-begränsningar. En SoD-begränsning är en regel som definierar två roller som anses stå i konflikt med varandra. Personer som är säkerhetsansvariga skapar SoD-begränsningar för ett företag. Genom att definiera SoD-begränsningar kan de säkerhetsansvariga personerna förhindra att användare tilldelas till roller som står i konflikt med varandra, eller hantera ett spårningsregister så att det går att granska situationer där överträdelser har tillåtits. I en SoD-begränsning måste rollerna som står i konflikt mot varandra vara på samma nivå i rollhierarkin.

Vissa SoD-begränsningar kan åsidosättas utan godkännande, medan andra kräver ett godkännande. Konflikter som tillåts utan godkännande kallas SoD-överträdelser. Konflikter som har godkänts kallas godkända SoD-undantag. I undersystemet för roller och resurser krävs inte godkännanden för SoD-överträdelser som beror på indirekta tilldelningar, till exempel medlemskap i en grupp eller enhet, eller rollrelationer.

Om en SoD-konflikt måste godkännas anger begränsningsdefinitionen information om arbetsgångsprocessen som används till att koordinera godkännanden, samt listan med godkännare. Godkännare är personer som kan godkänna eller avslå ett SoD-undantag. En standardlista definieras som en del av konfigurationen för undersystemet för roller och resurser. Det går dock att åsidosätta listan i definitionen av en SoD-begränsning.

Rollrapportering och granskning

I undersystemet för roller och resurser finns användbara rapportfunktioner som underlättar för granskare att analysera rollkatalogen, samt aktuell status för rolltilldelningar och SoD-begränsningar, överträdelser och undantag. Med funktionerna för rollrapportering kan rollgranskare och administratörer av rollmodulen visa följande rapporttyper i PDF-format:

  • Rapport: rollista

  • Rapport: rollinformation

  • Rapport: rolltilldelning

  • Rapport: begränsningar vid SoD

  • Rapport: överträdelser och undantag vid SoD

  • Rapport: användarroller

  • Rapport: användarrättigheter

Förutom att ge information via rapporteringsfunktionen kan undersystemet för roller och resurser konfigureras för att logga händelser till Novell- och OpenXDAS-granskningsklienter.

Rollsäkerhet

I undersystemet för roller och resurser används en uppsättning systemroller för att ge säker åtkomst till funktionerna på fliken Roller och resurser. Alla menyåtgärder på fliken Roller och resurser är mappade till en eller flera systemroller. Om en användare inte är medlem av någon av rollerna som är associerade med en åtgärd visas inte motsvarande menyalternativ på fliken Roller och resurser.

Systemroller är administrativa roller som automatiskt definieras av system vid installationen. De används till att delegera administrationen. Systemrollerna är bland annat:

  • Rolladministratör

  • Rollhanterare

Systemrollerna beskrivs i detalj nedan.

Tabell 15-1 Systemroller

Roll

Beskrivning

Rolladministratör

En systemroll som tillåter att medlemmarna skapar, tar bort eller ändrar alla roller, och tilldelar eller avlägsnar alla rolltilldelningar till alla användare, grupper och behållare. Medlemmar i den här rollen kan även köra alla rapporter för alla användare. En person med den här rollen kan utföra följande funktioner i användarprogrammet inom ett obegränsat område:

  • Skapa, ta bort och ändra roller.

  • Ändra rollrelationer för roller.

  • Beställ tilldelning av användare, grupper eller enheter till roller.

  • Skapa, ta bort och ändra SoD-begränsningar.

  • Bläddra i rollkatalogen.

  • Konfigurera undersystemet för roller och resurser

  • Visa status för alla beställningar.

  • Återkalla beställningar om rolltilldelningar.

  • Kör alla önskade rapporter.

Rollhanterare

En systemroll som gör det möjligt för medlemmar att ändra roller och rollrelationer, samt att ge eller ta bort rolltilldelningar för användare. En person med den här rollen kan utföra följande funktioner i användarprogrammet och begränsas i omfattning av bläddringsrättigheterna för rollobjekten i katalogen:

  • Skapa nya roller och ändra befintliga roller som användaren har bläddringsrättigheter till.

  • Ändra rollrelationer som användaren har bläddringsrättigheter till.

  • Beställa tilldelningar av användare, grupper eller enheter till roller som användaren har bläddringsrättigheter till.

  • Bläddra i rollkatalogen (området begränsas av bläddringsrättigheterna).

  • Bläddra i beställningar om rolltilldelningar för användare, grupper och enheter (området begränsas av bläddringsrättigheterna till roll-, användar-, grupp- och enhetsobjekt).

  • Återkalla beställningar om rolltilldelningar för användare, grupper och enheter (området begränsas av bläddringsrättigheterna till roll-, användar-, grupp- och enhetsobjekt).
Autentiserad användare

Underssystemet för roller och resurser stödjer systemrollerna och ger även autentiserade användare åtkomst. En autentiserad användare är en användare som är inloggad i användarprogrammet och som inte har några särskilda privilegier från medlemskap i en säkerhetsroll. En typisk autentiserad användare kan utföra alla följande funktioner:

  • Visa alla roller som har tilldelats till användaren.

  • Beställa tilldelningar (endast för sig själv) till roller som han eller hon har bläddringsrättigheter till.

  • Visa beställningsstatus för beställningar som han eller hon är antingen beställare eller mottagare för.

  • Återkalla beställningar om rolltilldelningar för beställningar som han eller hon är både beställare och mottagare för.

Drivrutinen för roll- och resurstjänsten

Undersystemet för roller och resurser använder drivrutinen för roll- och resurstjänsten till att hantera bakgrundsbehandling av roller. Exempelvis hanterar det alla rolltilldelningar, startar arbetsgångar för beställningar om rolltilldelningar och SoD-konflikter samt upprätthåller indirekta rolltilldelningar enligt medlemskap i grupper och enheter, samt medlemskap i relaterade roller. Med drivrutinen beviljas och återkallas även rättigheter för användare baserat på deras rollmedlemskap, och rensningsprocedurer utförs för beställningar som har slutförts.

När rättigheter ändras för en resurs. Om du ändrar rättigheten för en befintlig resurs ges inte den nya rättigheten till användare som för tillfället har tilldelats resursen. Om du vill bevilja den nya rättigheten måste du ta bort resursen från användarna som behöver rättigheten och tilldela den till dem på nytt.

Mer information om drivrutinen för roll- och resurstjänsten finns i Användarprogrammet Identity Manager: Administrationshandbok.

15.1.2 Om resurser

I det här avsnittet ges en översikt av termer och begrepp som används i användarprogrammet:

Om resursbaserad logistik

Syftet med resursfunktionerna i användarprogrammet är att ge dig ett enkelt sätt att utföra resursbaserade logistikåtgärder. Med åtgärderna kan du hantera resursdefinitioner och resurstilldelningar inom organisationen. Resurstilldelningar kan mappas till användare eller roller i ett företag. Du kan till exempel använda resurser för att:

  • göra resursbeställningar för dig själv eller för andra användare i företaget

  • skapa resurser och mappa dem till rättigheter

När en resurstilldelningsbeställning kräver tillstånd från en eller flera individer i organisationen startas en arbetsgång. Med arbetsgången koordineras tillstånden som krävs för att beställningen ska kunna uppfyllas. För vissa resurstilldelningsbeställningar krävs godkännande från en enda person, för andra krävs godkännande från flera personer. I vissa fall kan en beställning uppfyllas utan några tillstånd.

Följande företagsregler styr resursernas funktion i användarprogrammet:

  • Resurser kan bara tilldelas till en användare. Det här hindrar inte att en resurs beviljas till användare i en enhet eller grupp som baseras på implicit rolltilldelning. Resurstilldelningen blir dock bara associerad med en användare.

  • Resurser kan tilldelas på något av följande sätt:

    • Direkt av en användare genom gränssnittsmekanismer

    • Genom en logistikbeställning

    • Genom en rollbeställningstilldelning

    • Genom ett Rest- eller SOAP-gränssnitt

  • Samma resurs kan beviljas till en användare flera gånger (om den här funktionen har aktiverats i resursdefinitionen).

  • En resursdefinition kan bara ha en rättighet bunden till sig.

  • En resursdefinition kan ha en eller flera samma rättighetsreferenser bundna till sig. Den här funktionen ger stöd för rättigheter där rättighetsparametrarna representerar logistikkonton eller behörigheter i det anslutna systemet.

  • Parametrar för rättighets- och beslutsstöd kan anges vid tidpunkten för utformningen (statiskt) eller vid tidpunkten för beställningen (dynamiskt).

Den som har skapat arbetsgången och systemadministratören har ansvar för att användarprogrammet ställs in för dig och andra i organisationen. Kontrollflödet för en resursbaserad arbetsgång samt hur formulären ser ut kan variera beroende på hur godkännandedefinitionen för arbetsgången har definierats i Designer för Identity Manager. Vad du kan se och göra avgörs dessutom vanligtvis av kraven för ditt arbete och din behörighetsnivå.

Resurser

En resurs är en digital enhet, till exempel ett användarkonto, en dator eller en databas som en företagsanvändare behöver för åtkomst. Användarprogrammet är ett praktiskt sätt för slutanvändare att beställa de resurser de behöver. Dessutom innehåller användarprogrammet verktyg som administratörer kan använda för att definiera resurser.

Varje resurs är mappad till en rättighet. En resursdefinition kan bara ha en rättighet bunden till sig. En resursdefinition kan vara bunden till samma rättighet mer än en gång, med olika rättighetsparametrar för varje resurs.

Resursbeställningar

Resurser kan endast tilldelas till användare. De kan inte tilldelas grupper eller enheter. Om en roll är tilldelad en grupp eller enhet kan användarna i gruppen eller enheten automatiskt beviljas åtkomst till de resurser som är associerade med rollen.

Resursbeställningar kan behöva godkännas. Godkännandeprocessen för en resurs kan hanteras av en logistikbeställningsdefinition eller av ett externt system genom att statuskoden anges på resursbeställningen.

Om en beviljad resursbeställning initieras av en rolltilldelning är det möjligt att resursen inte beviljas, även om rollen är tillhandahållen. Den troligaste orsaken är att nödvändiga godkännanden saknas.

En resursbeställning kan bevilja en resurs till en användare eller återkalla en resurs från en användare.

Drivrutinen för roll- och resurstjänsten

Användarprogrammet använder drivrutinen för roll- och resurstjänster för att hantera bakgrundsbehandling av resurser. Det hanterar till exempel alla resursbeställningar, startar arbetsgångar för resursbeställningar och initierar logistikprocessen för resursbeställningar.