14.1 关于“角色”选项卡

角色选项卡用于使您方便地执行基于角色的供应操作。这些操作允许用户管理贵组织内的角色定义和角色指派。角色指派可以映射到公司内的资源,如用户帐户、计算机和数据库。例如,可以使用角色选项卡执行以下操作:

如果角色指派请求需要从组织中的一个或多个人获得许可权限,则该请求将启动工作流程。工作流程可协调完成请求所需的批准。 有些角色请求需要一个人批准,而另一些请求则需要多人批准。在某些实例中,可以不经任何批准完成请求。

如果角色指派请求可能产生职责分离冲突,发起人可以覆盖职责分离限制,并且对产生限制异常提供调整。在某些情况下,职责分离冲突可能导致工作流程启动。工作流程协调允许职责分离异常生效所需的批准。

工作流程设计者和系统管理员负责为您以及组织中的其他用户设置角色选项卡的内容。基于角色的工作流程或职责分离工作流程的控制流程以及表单外观可能有所不同,具体取决于工作流程的批准定义在 Designer for Identity Manager 中的定义方式。此外,可以查看的内容以及可以执行的操作通常由您的工作要求和权限级别确定。

角色和代理方式

代理方式仅在请求和批准选项卡上起作用,在角色选项卡上不受支持。如果在请求和批准选项卡上进入代理模式,然后切换到角色选项卡,则代理模式在这两个选项卡上都将关闭。

14.1.1 关于角色

本部分概述角色选项卡中所用的术语和概念:

角色与角色指派

角色定义与一个或多个目标系统或应用程序相关的一组许可权限。角色选项卡允许用户请求角色指派,角色指派是角色与用户、组或容器之间的关联。角色选项卡还允许用户定义角色关系,用于在角色层次结构中建立角色之间的关联。

可以将角色直接指派给用户,在这种情况下,这些直接指派使用户可以显式访问与该角色关联的许可权限。也可以定义间接指派,从而允许用户通过角色层次结构中的组、容器或相关角色中的成员资格获取角色。

请求角色指派时,可以选择定义角色指派有效日期,用于指定指派生效的日期和时间。如果将该字段保留为空,则表示指派立即生效。

也可以定义角色指派失效日期,用于指定自动去除指派的日期和时间。

用户请求角色指派时,角色子系统将管理角色请求的生命周期。要了解用户或角色子系统对请求采取了哪些操作,可以在“查看请求状态”页面上查看请求状态。

角色编目与角色层次结构

必须首先在“角色编目”中定义角色,然后用户才能开始指派这些角色。“角色编目”是所有角色定义与角色子系统所需支持数据的储存库。要设置“角色编目”,“角色模块管理员”(或“角色管理者”)应定义角色与角色层次结构。

角色层次结构建立编目中角色之间的关系。通过定义角色关系,可以简化通过角色指派授予许可权限的任务。例如,可以定义一个 Doctor 角色并指定这个 Doctor 角色与每个医疗角色之间的关系,而无需只要有医生加入贵组织,就指派 50 个不同的医疗角色。通过向用户指派 Doctor 角色,可以向这些用户提供为每个相关医疗角色定义的许可权限。

角色层次结构支持三个级别。最高级别定义的角色(称为“业务角色”)定义组织内具有业务意义的操作。中级角色(称为“IT 角色”)支持技术功能。层次结构最低级别定义的角色(称为“许可权限角色”)定义较低级别的特权。以下示例显示一家医疗组织的样本角色层次结构,其中包含三个级别。层次结构的最高级别位于左侧,最低级别位于右侧:

图 14-1 样本角色层次结构

较高级别的角色自动包含其包含的较低级别角色的特权。例如,一个“业务角色”自动包含该角色下包含的“IT 角色”的特权。同样,一个“IT 角色”自动包含该角色下包含的“许可权限角色”的特权。

层次结构中对等角色之间不允许存在角色关系。此外,较低级别的角色不能包含较高级别的角色。

定义角色时,可以选择为该角色指定一个或多个拥有者。角色拥有者是指定为角色定义的拥有者的一个用户。针对“角色编目”生成报告时,可以基于角色拥有者过滤这些报告。角色拥有者不会自动具备管理角色定义更改的授权。在某些情况下,拥有者必须要求角色管理员对角色执行任何管理操作。

定义角色时,也可以将该角色与一个或多个角色类别相关联。角色类别允许用户对角色分类,以便组织角色系统。将角色与类别关联之后,可以在浏览“角色编目”时将该类别用作过滤器。

如果角色指派请求需要批准,则角色定义将指定用于协调批准的工作流程细节以及批准者列表。批准者是可以批准或拒绝角色指派请求的个人。

职责分离

角色子系统的一个关键功能是定义职责分离 (SoD) 限制。职责分离 (SoD) 限制是定义认为存在冲突的两个角色的规则。安全专员负责为组织创建职责分离限制。通过定义 SoD 限制,这些专员可以防止将用户指派给冲突的角色,或是维护审计追踪,以便跟踪允许冲突的情况。在职责分离限制中,冲突的角色在角色层次结构中的级别必须相同。

某些职责分离限制不经批准即可被覆盖,而其他的则需批准。无需批准即允许的冲突称为职责分离违例。已经批准的冲突称为已批准的职责分离异常。角色子系统无需批准源自间接指派(例如组或容器中的成员资格或角色关系)的 SoD 违例。

如果职责分离冲突需要批准,则该限制定义将指定用于协调批准的工作流程细节以及批准者列表。批准者是可以批准或拒绝 SoD 异常的个人。将定义一个默认列表,充当角色子系统配置的组成部分。但是,可以在 SoD 限制的定义中覆盖该列表。

角色报告与审计

角色子系统提供了一套丰富的报告工具,帮助审计员分析“角色编目”,以及角色指派与 SoD 限制、违例和异常的当前状态。这个角色报告工具允许角色审计员和角色模块管理员以 PDF 格式显示下列类型的报告:

  • 角色列表报告

  • 角色细节报告

  • 角色指派报告

  • SoD 限制报告

  • SoD 违例与异常报告

  • 用户角色报告

  • 用户权利报告

除通过报告工具提供信息之外,还可以将角色子系统配置为把事件记录到 Novell® Audit 中。

角色安全性

角色子系统使用一组系统角色来保护对角色选项卡内的功能的访问。角色选项卡中的每个菜单操作都映射到一个或多个系统角色。如果用户不是与某个操作关联的一个角色的成员,则角色选项卡上将不显示相应的菜单项。

系统角色是在安装时由系统自动定义的管理角色,用于执行委派管理。这些更改包括以下几点:

  • 角色模块管理员

  • 角色管理者

  • 角色审计员

  • 安全专员

下文将详细说明这些系统角色。

表 14-1 系统角色

职能

说明

角色模块管理员

这是一个系统角色,它允许成员创建、去除或修改所有角色,以及授予或撤消对任何用户、组或容器的任何角色指派。此角色还允许成员为任何用户运行任何报告。此角色的人员可以不受限制地执行 User Application 中的下列功能:

  • 创建、去除和修改角色。

  • 修改角色的角色关系。

  • 请求将用户、组或容器指派给角色。

  • 创建、去除和修改 SoD 限制。

  • 浏览“角色编目”。

  • 配置角色子系统。

  • 查看所有请求的状态。

  • 收回角色指派请求。

  • 运行任何或全部报告。

角色管理者

这是一个系统角色,允许成员修改角色和角色关系,以及为用户授予或撤消角色指派。此角色的人员可以执行 User Application 中的下列功能,但对角色对象的目录浏览权限范围受到限制:

  • 创建新的角色和修改用户具有浏览权限的现有角色。

  • 修改用户具有浏览权限的角色的角色关系。

  • 请求将用户、组或容器指派给用户具有浏览权限的角色。

  • 浏览“角色编目”(范围受浏览权限的限制)。

  • 浏览对用户、组和容器的角色指派请求(范围受对角色、用户、组和容器对象的目录浏览权限的限制)。

  • 收回对用户、组和容器的角色指派请求(范围受对角色、用户、组和容器对象的目录浏览权限的限制)。

角色审计员

这是一个系统角色,允许成员对具有目录浏览权限的对象运行任何报告。

安全专员

这是一个系统角色,允许成员创建、去除或修改 SoD 限制。安全专员必须具有 SoD 限制的浏览权限。
已鉴定用户

除支持这些系统角色之外,角色子系统还允许已鉴定的用户进行访问。已鉴定用户是已登录 User Application,但不具备系统角色中的成员资格所享有的任何特殊特权的用户。典型的已鉴定用户可以执行下面的任何功能:

  • 查看已指派给该用户的所有角色。

  • 请求对具有浏览权限的角色的指派(仅针对该用户)。

  • 查看该用户充当请求者或收件人的请求的状态。

  • 收回该用户同时充当请求者和收件人的请求的角色指派请求。

角色服务驱动程序

角色子系统使用角色服务驱动程序管理角色的后端处理。例如,管理所有角色指派,启动需要批准的角色指派请求和 SoD 冲突的工作流程,以及根据组和容器成员资格及相关角色中的成员资格维护间接角色指派。该驱动程序还根据用户的角色成员资格为其授予和撤消权利,并且执行已完成请求的清理过程。

有关角色服务驱动程序的细节,请参见《Identity Manager User Application:管理指南》。