14.1 Om fliken Roller

Syftet med fliken Roller är att ge dig ett enkelt sätt att utföra rollbaserade logistikåtgärder. Med dessa åtgärder kan du hantera rolldefinitioner och rolltilldelningar inom företaget. Rolltilldelningar kan mappas till resurser inom ett företag, till exempel användarkonton, datorer och databaser. Med fliken Roller kan du exempelvis:

När en begäran om rolltilldelning kräver tillstånd från en eller flera individer på företaget startar begäran en arbetsgång. Med arbetsgången koordineras tillstånden som krävs för att begäran ska kunna uppfyllas. Vissa rolltilldelningar kräver tillstånd från en person, medan andra kräver tillstånd från flera personer. I vissa fall kan en begäran uppfyllas utan några tillstånd.

Om en begäran om rolltilldelning leder till en potentiell SOD-konflikt har initieraren möjlighet att åsidosätta SOD-begränsningen och ge ett berättigande till undantaget från begränsningen. I vissa fall kan en SOD-konflikt leda till att en arbetsgång startas. Med arbetsgången koordineras godkännandena som krävs för att SOD-undantaget ska kunna verkställas.

Skaparen av arbetsgången och systemadministratören har ansvar för att innehållet på fliken Roller ställs in för dig och andra på företaget. Flödet av kontroll för en rollbaserad arbetsgång eller en SOD-arbetsgång, samt hur formulär visas, kan variera beroende på hur godkännandedefinitionen för arbetsgången definierades i Designer för Identity Manager. Vad du kan se och göra avgörs dessutom vanligtvis av kraven för ditt arbete och din behörighetsnivå.

Fullmaktsläge fungerar endast på fliken Begäranden och godkännanden och stöds inte på fliken Roller. Om du aktiverar fullmaktsläget på fliken Begäranden och godkännanden och därefter växlar till fliken Roller inaktiveras fullmaktsläget på båda flikarna.

14.1.1 Om roller

I det här avsnittet visas en översikt över termer och koncept som används på fliken Roller:

Roller och rolltilldelningar

En roll anger en uppsättning behörigheter som är relaterade till ett eller flera målsystem eller program. På fliken Roller kan användarna begära rolltilldelningar, som är associationer mellan en roll och en användare, en grupp eller en container. På fliken Roller kan du även definiera rollrelationer, som skapar associationer mellan roller i rollhierarkin.

Du kan tilldela roller direkt till en användare. Då ger dessa direkttilldelningar användaren explicit tillgång till behörigheterna som associeras med rollen. Du kan även definiera indirekta tilldelningar, som gör det möjligt för användare att tilldelas roller genom medlemskap i en grupp, en container eller en relaterad roll i rollhierarkin.

När du begär en rolltilldelning kan du definiera ett första giltighetsdatum för rolltilldelningen. Det anger datum och tid när tilldelningen börjar gälla. Om du lämnar det här värdet tomt innebär det att tilldelningen börjar gälla direkt.

Du kan även definiera ett förfallodatum för rolltilldelning, som anger datum och tid när tilldelningen automatiskt tas bort.

När en användare begär en rolltilldelning hanterar rollundersystemet livscykeln för rollbegäran. Om du vill se vilka åtgärder som har utförts på begäran av användare eller av rollundersystemet kan du kontrollera status för begäran på sidan Visa begärandestatus.

Rollkatalog och rollhierarki

Innan användarna kan börja tilldela roller måste rollerna definieras i rollkatalogen. Rollkatalogen är lagringsplatsen för alla rolldefinitioner och data som används av rollundersystemet. Rollkatalogen installeras genom att en administratör för rollmodulen (eller en rollhanterare) definierar rollerna och rollhierarkin.

Med hjälp av rollhierarkin skapas relationer mellan rollerna i katalogen. Genom att definiera rollrelationer kan du göra det enklare att godkänna behörigheter med hjälp av rolltilldelningar. I stället för att till exempel tilldela 50 separata medicinska roller varje gång en läkare börjar arbeta på företaget kan du definiera rollen Läkare och ange en rollrelation mellan rollen Läkare och var och en av de medicinska rollerna. Genom att tilldela användare till rollen Läkare kan du ge dessa användare behörigheterna som har definierats för var och en av de relaterade medicinska rollerna.

Rollhierarkin har stöd för tre nivåer. Roller som definieras på den högsta nivån (företagsroller) definierar åtgärder som har betydelse inom företaget. Roller på mellannivå (IT-roller) har stöd för teknikfunktioner. Roller som definieras på den lägsta nivån i hierarkin (behörighetsroller) definierar behörigheter på låg nivå. I exemplet nedan visas en rollhierarki med tre nivåer för ett sjukhus. Den högsta nivån för hierarkin visas till vänster och den lägsta nivån visas till höger:

Figur 14-1 Exempel på rollhierarki

En roll på högre nivå innehåller automatiskt behörigheter från rollerna på lägre nivå som ingår i den. Exempelvis innehåller en företagsroll automatiskt behörigheterna i IT-rollerna som ingår i den. På samma sätt innehåller en IT-roll automatiskt behörigheterna i behörighetsrollen som ingår i den.

Rollrelationer är inte tillåtna mellan roller på samma nivå inom hierarkin. Roller på lägre nivå får inte heller innehålla roller på högre nivå.

När du definierar en roll kan du om du vill ange en eller flera ägare för rollen. En rollägare är en användare som har angetts som rolldefinitionens ägare. När du genererar rapporter mot rollkatalogen kan du filtrera rapporterna baserat på rollägare. Rollägaren har inte automatiskt behörighet att utföra ändringar i en rolldefinition. I vissa fall måste rollägaren be en rolladministratör att utföra administratörsåtgärder för rollen.

När du definierar en roll kan du om du vill associera rollen med en eller flera rollkategorier. Med en rollkategori kan du kategorisera roller så att det går att organisera rollsystemet. När en roll har associerats med en kategori kan du använda denna kategori som ett filter när du bläddrar i rollkatalogen.

Om en begäran om rolltilldelning måste godkännas anger rolldefinitionen information om arbetsgångsprocessen som används till att koordinera godkännanden, samt listan med godkännare. Godkännare är personer som kan godkänna eller avslå en begäran om rolltilldelning.

Uppgiftsseparation

En nyckelfunktion i rollundersystemet är möjligheten att definiera begränsningar för uppgiftsseparation (SOD). En SOD-begränsning är en regel som definierar två roller som anses stå i konflikt med varandra. Personer som är säkerhetsansvariga skapar SOD-begränsningar för ett företag. Genom att definiera SOD-begränsningar kan de säkerhetsansvariga personerna förhindra att användare tilldelas till roller som står i konflikt med varandra, eller hantera ett spårningsregister så att det går att granska situationer där överträdelser har tillåtits. I en SOD-begränsning måste rollerna som står i konflikt mot varandra vara på samma nivå i rollhierarkin.

Vissa SOD-begränsningar kan åsidosättas utan godkännande, medan andra kräver ett godkännande. Konflikter som tillåts utan godkännande kallas SOD-överträdelser. Konflikter som har godkänts kallas godkända SOD-undantag. I rollundersystemet krävs inte godkännanden för SOD-överträdelser som beror på indirekta tilldelningar, till exempel medlemskap i en grupp eller container, eller rollrelationer.

Om en SOD-konflikt måste godkännas anger begränsningsdefinitionen information om arbetsgångsprocessen som används till att koordinera godkännanden, samt listan med godkännare. Godkännare är personer som kan godkänna eller avslå ett SOD-undantag. En standardlista definieras som en del av konfigureringen för rollundersystemet. Det går dock att åsidosätta listan i definitionen av en SOD-begränsning.

Rollrapportering och granskning

I rollundersystemet finns användbara rapportfunktioner som underlättar för granskare att analysera rollkatalogen, samt aktuell status för rolltilldelningar och SOD-begränsningar, överträdelser och undantag. Med funktionerna för rollrapportering kan rollgranskare och administratörer av rollmodulen visa följande rapporttyper i PDF-format:

  • Rapport: rollista

  • Rapport: rollinformation

  • Rapport: rolltilldelning

  • Rapport: begränsningar vid separering av uppgifter

  • Rapport: överträdelser och undantag vid separering av uppgifter

  • Rapport: användarroller

  • Rapport: användarrättigheter

Förutom att det ger information genom rapportfunktionerna kan rollundersystemet även konfigureras att logga händelser till Novell® Audit.

Rollsäkerhet

I rollundersystemet används en uppsättning systemroller till att ge säker tillgång till funktioner på fliken Roller. Alla menyåtgärder på fliken Roller är mappade till en eller flera systemroller. Om en användare inte är medlem av någon av rollerna som är associerade med en åtgärd visas inte motsvarande menyalternativ på fliken Roller.

Systemroller är administrativa roller som automatiskt definieras av system vid installationen. De används till att delegera administrationen. Systemrollerna är bland annat:

  • Administratör för rollmodulen

  • Rollhanterare

  • Rollgranskare

  • Säkerhetsansvarig

Systemrollerna beskrivs i detalj nedan.

Tabell 14-1 Systemroller

Roll

Beskrivning

Administratör för rollmodulen

En systemroll som tillåter att medlemmarna skapar, tar bort eller ändrar alla roller, och tilldelar eller avlägsnar alla rolltilldelningar till alla användare, grupper och behållare. Medlemmar i den här rollen kan även köra alla rapporter för alla användare. En person med den här rollen kan utföra följande funktioner i användarprogrammet inom ett obegränsat område:

  • Skapa, ta bort och ändra roller.

  • Ändra rollrelationer för roller.

  • Begär tilldelning av användare, grupper eller containrar till roller.

  • Skapa, ta bort och ändra SOD-begränsningar.

  • Bläddra i rollkatalogen.

  • Konfigurera rollundersystemet.

  • Visa status för alla begäranden.

  • Återkalla begäranden om rolltilldelningar.

  • Kör alla önskade rapporter.

Rollhanterare

En systemroll som gör det möjligt för medlemmar att ändra roller och rollrelationer, samt att ge eller ta bort rolltilldelningar för användare. En person med den här rollen kan utföra följande funktioner i användarprogrammet och begränsas i omfattning av bläddringsrättigheterna för rollobjekten i katalogen:

  • Skapa nya roller och ändra befintliga roller som användaren har bläddringsrättigheter till.

  • Ändra rollrelationer som användaren har bläddringsrättigheter till.

  • Begära tilldelningar av användare, grupper eller containrar till roller som användaren har bläddringsrättigheter till.

  • Bläddra i rollkatalogen (området begränsas av bläddringsrättigheterna).

  • Bläddra i begäranden om rolltilldelningar för användare, grupper och containrar (området begränsas av bläddringsrättigheterna till roll-, användar-, grupp- och containerobjekt).

  • Återkalla begäranden om rolltilldelningar för användare, grupper och containrar (området begränsas av bläddringsrättigheterna till roll-, användar-, grupp- och containerobjekt).

Rollgranskare

En systemroll som gör det möjligt för medlemmar att köra alla rapporter som de har bläddringsrättigheter i katalogen till.

Säkerhetsansvarig

En systemroll som låter medlemmarna skapa, ta bort och ändra SOD-begränsningar. Säkerhetsansvariga personer måste ha bläddringsrättigheter till SOD-begränsningarna.
Autentiserad användare

Förutom att stödja systemrollerna tillåter även rollundersystemet att autentiserade användare använder det. En autentiserad användare är en användare som är inloggad i användarprogrammet och som inte har några särskilda privilegier från medlemskap i en säkerhetsroll. En typisk autentiserad användare kan utföra alla följande funktioner:

  • Visa alla roller som har tilldelats till användaren.

  • Begära tilldelningar (endast för sig själv) till roller som han eller hon har bläddringsrättigheter till.

  • Visa begärandestatus för begäranden som han eller hon är antingen beställare eller mottagare för.

  • Återkalla begäranden om rolltilldelningar för begäranden som han eller hon är både beställare och mottagare för.

Drivrutin för rolltjänsten

Rollundersystemet använder drivrutinen för rolltjänsten till att hantera bakgrundsbehandling av roller. Exempelvis hanterar det alla rolltilldelningar, startar arbetsgångar för begäranden om rolltilldelningar och SOD-konflikter samt upprätthåller indirekta rolltilldelningar enligt medlemskap i grupper och containrar, samt medlemskap i relaterade roller. Med drivrutinen beviljas och återkallas även rättigheter för användare baserat på deras rollmedlemskap, och rensningsprocedurer utförs för begäranden som har slutförts.

Mer information om drivrutinen för rolltjänsten hittar du i Användarprogrammet Identity Manager: Administrationshandbok .