Syftet med fliken
är att ge dig ett enkelt sätt att utföra rollbaserade logistikåtgärder. Med dessa åtgärder kan du hantera rolldefinitioner och rolltilldelningar inom företaget. Rolltilldelningar kan mappas till resurser inom ett företag, till exempel användarkonton, datorer och databaser. Med fliken kan du exempelvis:Göra rollbegäranden för dig själv eller för andra användare i företaget
Skapa roller och rollrelationer i rollhierarkin
Skapa begränsningar vid separering av uppgifter för att hantera möjliga konflikter mellan rolltilldelningar
Visa rapporter med information om status för rollkatalogen och de roller som är tilldelade användare, grupper och containrar
När en begäran om rolltilldelning kräver tillstånd från en eller flera individer på företaget startar begäran en arbetsgång. Med arbetsgången koordineras tillstånden som krävs för att begäran ska kunna uppfyllas. Vissa rolltilldelningar kräver tillstånd från en person, medan andra kräver tillstånd från flera personer. I vissa fall kan en begäran uppfyllas utan några tillstånd.
Om en begäran om rolltilldelning leder till en potentiell SOD-konflikt har initieraren möjlighet att åsidosätta SOD-begränsningen och ge ett berättigande till undantaget från begränsningen. I vissa fall kan en SOD-konflikt leda till att en arbetsgång startas. Med arbetsgången koordineras godkännandena som krävs för att SOD-undantaget ska kunna verkställas.
Skaparen av arbetsgången och systemadministratören har ansvar för att innehållet på fliken
ställs in för dig och andra på företaget. Flödet av kontroll för en rollbaserad arbetsgång eller en SOD-arbetsgång, samt hur formulär visas, kan variera beroende på hur godkännandedefinitionen för arbetsgången definierades i Designer för Identity Manager. Vad du kan se och göra avgörs dessutom vanligtvis av kraven för ditt arbete och din behörighetsnivå.Fullmaktsläge fungerar endast på fliken
och stöds inte på fliken . Om du aktiverar fullmaktsläget på fliken och därefter växlar till fliken inaktiveras fullmaktsläget på båda flikarna.I det här avsnittet visas en översikt över termer och koncept som används på fliken
:En roll anger en uppsättning behörigheter som är relaterade till ett eller flera målsystem eller program. På fliken kan användarna begära rolltilldelningar, som är associationer mellan en roll och en användare, en grupp eller en container. På fliken kan du även definiera rollrelationer, som skapar associationer mellan roller i rollhierarkin.
Du kan tilldela roller direkt till en användare. Då ger dessa direkttilldelningar användaren explicit tillgång till behörigheterna som associeras med rollen. Du kan även definiera indirekta tilldelningar, som gör det möjligt för användare att tilldelas roller genom medlemskap i en grupp, en container eller en relaterad roll i rollhierarkin.
När du begär en rolltilldelning kan du definiera ett första giltighetsdatum för rolltilldelningen. Det anger datum och tid när tilldelningen börjar gälla. Om du lämnar det här värdet tomt innebär det att tilldelningen börjar gälla direkt.
Du kan även definiera ett förfallodatum för rolltilldelning, som anger datum och tid när tilldelningen automatiskt tas bort.
När en användare begär en rolltilldelning hanterar rollundersystemet livscykeln för rollbegäran. Om du vill se vilka åtgärder som har utförts på begäran av användare eller av rollundersystemet kan du kontrollera status för begäran på sidan Visa begärandestatus.
Innan användarna kan börja tilldela roller måste rollerna definieras i rollkatalogen. Rollkatalogen är lagringsplatsen för alla rolldefinitioner och data som används av rollundersystemet. Rollkatalogen installeras genom att en administratör för rollmodulen (eller en rollhanterare) definierar rollerna och rollhierarkin.
Med hjälp av rollhierarkin skapas relationer mellan rollerna i katalogen. Genom att definiera rollrelationer kan du göra det enklare att godkänna behörigheter med hjälp av rolltilldelningar. I stället för att till exempel tilldela 50 separata medicinska roller varje gång en läkare börjar arbeta på företaget kan du definiera rollen Läkare och ange en rollrelation mellan rollen Läkare och var och en av de medicinska rollerna. Genom att tilldela användare till rollen Läkare kan du ge dessa användare behörigheterna som har definierats för var och en av de relaterade medicinska rollerna.
Rollhierarkin har stöd för tre nivåer. Roller som definieras på den högsta nivån (företagsroller) definierar åtgärder som har betydelse inom företaget. Roller på mellannivå (IT-roller) har stöd för teknikfunktioner. Roller som definieras på den lägsta nivån i hierarkin (behörighetsroller) definierar behörigheter på låg nivå. I exemplet nedan visas en rollhierarki med tre nivåer för ett sjukhus. Den högsta nivån för hierarkin visas till vänster och den lägsta nivån visas till höger:
Figur 14-1 Exempel på rollhierarki
En roll på högre nivå innehåller automatiskt behörigheter från rollerna på lägre nivå som ingår i den. Exempelvis innehåller en företagsroll automatiskt behörigheterna i IT-rollerna som ingår i den. På samma sätt innehåller en IT-roll automatiskt behörigheterna i behörighetsrollen som ingår i den.
Rollrelationer är inte tillåtna mellan roller på samma nivå inom hierarkin. Roller på lägre nivå får inte heller innehålla roller på högre nivå.
När du definierar en roll kan du om du vill ange en eller flera ägare för rollen. En rollägare är en användare som har angetts som rolldefinitionens ägare. När du genererar rapporter mot rollkatalogen kan du filtrera rapporterna baserat på rollägare. Rollägaren har inte automatiskt behörighet att utföra ändringar i en rolldefinition. I vissa fall måste rollägaren be en rolladministratör att utföra administratörsåtgärder för rollen.
När du definierar en roll kan du om du vill associera rollen med en eller flera rollkategorier. Med en rollkategori kan du kategorisera roller så att det går att organisera rollsystemet. När en roll har associerats med en kategori kan du använda denna kategori som ett filter när du bläddrar i rollkatalogen.
Om en begäran om rolltilldelning måste godkännas anger rolldefinitionen information om arbetsgångsprocessen som används till att koordinera godkännanden, samt listan med godkännare. Godkännare är personer som kan godkänna eller avslå en begäran om rolltilldelning.
En nyckelfunktion i rollundersystemet är möjligheten att definiera begränsningar för uppgiftsseparation (SOD). En SOD-begränsning är en regel som definierar två roller som anses stå i konflikt med varandra. Personer som är säkerhetsansvariga skapar SOD-begränsningar för ett företag. Genom att definiera SOD-begränsningar kan de säkerhetsansvariga personerna förhindra att användare tilldelas till roller som står i konflikt med varandra, eller hantera ett spårningsregister så att det går att granska situationer där överträdelser har tillåtits. I en SOD-begränsning måste rollerna som står i konflikt mot varandra vara på samma nivå i rollhierarkin.
Vissa SOD-begränsningar kan åsidosättas utan godkännande, medan andra kräver ett godkännande. Konflikter som tillåts utan godkännande kallas SOD-överträdelser. Konflikter som har godkänts kallas godkända SOD-undantag. I rollundersystemet krävs inte godkännanden för SOD-överträdelser som beror på indirekta tilldelningar, till exempel medlemskap i en grupp eller container, eller rollrelationer.
Om en SOD-konflikt måste godkännas anger begränsningsdefinitionen information om arbetsgångsprocessen som används till att koordinera godkännanden, samt listan med godkännare. Godkännare är personer som kan godkänna eller avslå ett SOD-undantag. En standardlista definieras som en del av konfigureringen för rollundersystemet. Det går dock att åsidosätta listan i definitionen av en SOD-begränsning.
I rollundersystemet finns användbara rapportfunktioner som underlättar för granskare att analysera rollkatalogen, samt aktuell status för rolltilldelningar och SOD-begränsningar, överträdelser och undantag. Med funktionerna för rollrapportering kan rollgranskare och administratörer av rollmodulen visa följande rapporttyper i PDF-format:
Rapport: rollista
Rapport: rollinformation
Rapport: rolltilldelning
Rapport: begränsningar vid separering av uppgifter
Rapport: överträdelser och undantag vid separering av uppgifter
Rapport: användarroller
Rapport: användarrättigheter
Förutom att det ger information genom rapportfunktionerna kan rollundersystemet även konfigureras att logga händelser till Novell® Audit.
I rollundersystemet används en uppsättning systemroller till att ge säker tillgång till funktioner på fliken
. Alla menyåtgärder på fliken är mappade till en eller flera systemroller. Om en användare inte är medlem av någon av rollerna som är associerade med en åtgärd visas inte motsvarande menyalternativ på fliken .Systemroller är administrativa roller som automatiskt definieras av system vid installationen. De används till att delegera administrationen. Systemrollerna är bland annat:
Administratör för rollmodulen
Rollhanterare
Rollgranskare
Säkerhetsansvarig
Systemrollerna beskrivs i detalj nedan.
Tabell 14-1 Systemroller
Förutom att stödja systemrollerna tillåter även rollundersystemet att autentiserade användare använder det. En autentiserad användare är en användare som är inloggad i användarprogrammet och som inte har några särskilda privilegier från medlemskap i en säkerhetsroll. En typisk autentiserad användare kan utföra alla följande funktioner:
Visa alla roller som har tilldelats till användaren.
Begära tilldelningar (endast för sig själv) till roller som han eller hon har bläddringsrättigheter till.
Visa begärandestatus för begäranden som han eller hon är antingen beställare eller mottagare för.
Återkalla begäranden om rolltilldelningar för begäranden som han eller hon är både beställare och mottagare för.
Rollundersystemet använder drivrutinen för rolltjänsten till att hantera bakgrundsbehandling av roller. Exempelvis hanterar det alla rolltilldelningar, startar arbetsgångar för begäranden om rolltilldelningar och SOD-konflikter samt upprätthåller indirekta rolltilldelningar enligt medlemskap i grupper och containrar, samt medlemskap i relaterade roller. Med drivrutinen beviljas och återkallas även rättigheter för användare baserat på deras rollmedlemskap, och rensningsprocedurer utförs för begäranden som har slutförts.
Mer information om drivrutinen för rolltjänsten hittar du i Användarprogrammet Identity Manager: Administrationshandbok .