14.1 關於角色索引標籤

角色」索引標籤旨在為您提供執行角色提供動作的簡便方法。這些動作可讓您管理組織中的角色定義和角色指定。角色指定可對應到公司中的資源,例如使用者帳戶、電腦和資料庫。例如,您可以使用「角色」索引標籤來執行下列操作:

當角色指定申請需要組織中一或多個人員的許可時,申請便會啟動工作流程。工作流程可協調完成申請所需的核准。一些角色指定申請需要單個人員的核准;而其他申請則需要多位人員的核准。某些例項中的申請無需任何核准即可完成。

當角色指定申請引起潛在的權限分散衝突時,啟始者可選擇覆寫權限分散條件約束,並提供論證來建立權限分散條件約束例外。在某些情況下,權限分散衝突可能會導致工作流程啟動。工作流程可協調使權限分散例外生效所需的核准。

工作流程設計人員和系統管理員負責為組織中的所有人設定「角色」索引標籤的內容。角色工作流程或權限分散工作流程的控制流,及表單的外觀取決於「適用於 Identity Manager 的 Designer」中所定義之工作流程的核准定義。此外,您可以查看的內容和執行的操作通常由您的工作要求和權限層級所決定。

代理模式只在「申請與核准」索引標籤中正常工作,「角色」索引標籤則不支援該模式。如果您在「申請與核准」索引標籤上進入代理模式,然後切換到「角色」索引標籤,系統便會對兩個索引標籤關閉代理模式。

14.1.1 關於角色

本節提供「角色」索引標籤中所用術語和概念的概觀:

角色與角色指定

角色」定義了與一或多個目標系統或應用程式相關的一組許可。「角色」索引標籤可讓使用者申請「角色指定」,即角色與使用者、群組或容器之間的關聯。「角色」索引標籤還可讓您定義「角色關係」,這會在角色階層中的各角色之間建立關聯。

您可以直接將角色指定給使用者,在這種情況下,「直接指定」可為使用者授予與角色相關聯之許可的明確存取權限。您可以定義「間接指定」,這樣可讓使用者透過群組、容器中的成員資格或角色階層中的相關角色獲取各種角色。

申請角色指定時,您可選擇定義「角色指定生效日期」,以指定該指定生效的日期與時間。如果讓此選項保留為空白,則表示指定立即生效。

您還可以定義「角色指定過期日期」,以指定系統自動移除該指定的日期與時間。

當使用者申請角色指定時,「角色子系統」會管理角色申請的生命週期。若要查看使用者或「角色子系統」對申請所執行的動作,可在「檢視申請狀態」頁面查看申請的狀態。

角色目錄和角色階層

必須先在「角色目錄」中定義角色,使用者才能指定這些角色。「角色目錄」是儲存「角色子系統」所需之所有角色定義和支援資料的儲存機制。為了設定「角色目錄」,角色模組管理員 (或角色管理員) 會定義角色和角色階層。

角色階層」可在目錄中的各角色之間建立關係。定義角色關係可以簡化透過角色指定授予許可權限的任務。例如,您無需每當有醫生加入組織便指定 50 個獨立的醫療角色,而只需定義一個 Doctor 角色並指定 Doctor 角色與每個醫療角色之間的關係。為使用者指定 Doctor 角色可向這些使用者授予為每個相關醫療角色定義的許可權限。

角色階層支援三個層級。最高層級 (稱為業務角色) 定義的角色可定義在組織中具有業務意義的操作。中間層級 (稱為 IT 角色) 支援技術功能。階層最低層級 (稱為權限角色) 定義的角色可定義較低層級的權限。下面的範例顯示某醫療組織含三個層級的角色階層範例。階層的最高層級在左側,最低層級在右側:

圖 14-1 角色階層範例

較高層級角色自動包括它所包含之較低層級角色的權限。例如,「業務角色」自動包括它所包含之「IT 角色」的權限。同樣,「IT 角色」自動包括它所包含之「許可角色」的權限。

階層中同級角色之間不允許存在角色關係。此外,較低層級角色不能包含較高層級角色。

定義角色時,可以選擇為該角色指定一或多個擁有者。「角色擁有者」是指定為該角色定義之擁有者的使用者。針對「角色目錄」產生報告時,您可以根據角色擁有者過濾這些報告。角色擁有者不會自動擁有管理對角色定義所進行之變更的授權。在某些情況下,擁有者必須要求角色管理員對角色執行管理動作。

定義角色時,可以選擇讓角色與一或多個類別相關聯。「角色類別」可讓您對角色進行分類以方便管理角色系統。將角色與某個類別關聯後,瀏覽「角色目錄」時可將此類別用做過濾器。

如果角色指定申請需要核准,角色定義將指定有關協調核准所用之工作流程程序以及核准人清單的詳細資料。核准人就是可以核准或拒絕角色指定申請的人員。

權限分散

「角色子系統」的主要功能是能夠定義「權限分散 (SoD) 條件約束」。權限分散 (SoD) 條件約束是定義被視為相互衝突的兩個角色的規則。「安全官」會為組織建立權限分散條件約束。透過定義 SoD 條件約束,這些安全官可以避免為使用者指定相互衝突的角色,或者維護稽核線索以追蹤允許違規的情況。在權限分散條件約束中,相互衝突的角色必須位於角色階層中的同一層級。

某些權限分散條件約束無需核准即可被覆寫,而其他權限分散條件約束則需要核准才可被覆寫。未經過核准即獲得許可的衝突稱為「權限分散違規」。經過核准的衝突稱為「權限分散已核准的例外」。「角色子系統」不需要核准間接指定 (例如群組、容器中的成員資格,或角色關係) 引起的 SoD 違規。

如果權限分散衝突需要核准,條件約束定義將指定有關協調核准所用的工作流程程序以及核准人清單的詳細資料。核准人就是可以核准或拒絕 SoD 例外的人員。預設清單定義為「角色子系統」組態的一部分。但可在 SoD 條件約束的定義中覆寫此清單。

角色報告和稽核

「角色子系統」提供了可協助稽核員分析「角色目錄」的大量報告功能,以及角色指定、SoD 條件約束、違規和例外的目前狀態。角色報告功能可讓角色稽核員及角色模組管理員顯示下列類型的 PDF 格式報告:

  • 角色清單報告

  • 角色詳細資料報告

  • 角色指定報告

  • SoD 條件約束報告

  • SoD 違規與例外報告

  • 使用者角色報告

  • 使用者授權報告

除了可透過報告功能提供資訊之外,「角色子系統」還可設定為將事件記錄到 Novell® Audit 中。

角色安全性

「角色子系統」使用一組系統角色來保護對「角色」索引標籤中各功能的存取權限。「角色」索引標籤中的每個功能表動作與一或多個系統角色對應。如果使用者不屬於與動作相關聯的角色之一,「角色」索引標籤上就不會顯示對應的功能表項目。

系統角色」是安裝期間系統自動定義以進行所委託之管理的管理角色。這些改變包括:

  • 角色模組管理員

  • 角色管理員

  • 角色稽核員

  • 安全官

下表詳細說明了各系統角色:

表 14-1 系統角色

角色

描述

角色模組管理員

系統角色,允許成員建立、移除或修改所有角色,授予或撤銷對任何使用者、群組或容器所做的任何角色指定。此角色還允許成員為任一使用者執行任何報告。此角色中的人員可以在「使用者應用程式」中執行以下功能而無任何限制:

  • 建立、移除和修改角色。

  • 修改角色的角色關係。

  • 申請將使用者、群組或容器指定給角色。

  • 建立、移除和修改 SoD 條件約束。

  • 瀏覽「角色目錄」。

  • 設定「角色子系統」。

  • 檢視所有申請的狀態。

  • 收回角色指定申請。

  • 執行全部或任一報告。

角色管理員

系統角色,允許成員修改角色和角色關係,以及授予或撤銷對使用者所做的角色指定。此角色中的人員能夠在「使用者應用程式」中執行以下功能,範圍受限於對角色物件的目錄瀏覽權限:

  • 建立新角色和修改使用者對其具有瀏覽權限的現有角色。

  • 修改使用者對其具有瀏覽權限之角色的角色關係。

  • 申請將使用者、群組或容器指定給使用者對其具有瀏覽權限的角色。

  • 瀏覽「角色目錄」(範圍受瀏覽權限限制)。

  • 瀏覽使用者、群組及容器的角色指定申請 (範圍受限於對角色、使用者、群組及容器物件的瀏覽權限)。

  • 收回使用者、群組及容器的角色指定申請 (範圍受限於對角色、使用者、群組及容器物件的瀏覽權限)。

角色稽核員

系統角色,允許成員執行對其具有目錄瀏覽權限的任何報告。

安全官

系統角色,允許成員建立、移除或修改 SoD 條件約束。「安全官」必須具有對 SoD 條件約束的瀏覽權限。
經過認證的使用者

除了支援系統角色外,「角色子系統」還允許經過認證的使用者進行存取。經過認證的使用者是已登入「使用者應用程式」,但未透過系統角色中的成員資格取得任何特殊權限的使用者。標準的經過認證的使用者可以執行下列任何功能:

  • 檢視已指定給該使用者的所有角色。

  • 申請為自己指定他或她對其具有瀏覽權限的角色。

  • 檢視他或她是申請者或接收者之申請的申請狀態。

  • 收回他或她既是申請者又是接收者之申請的角色指定申請。

角色服務驅動程式

「角色子系統」使用「角色服務」驅動程式來管理角色的終端處理。例如,它管理所有角色指定,啟動需要核准之角色指定申請及 SoD 衝突的工作流程,以及根據群組、容器成員資格及相關角色中的成員資格維護間接角色指定。該驅動程式還會根據使用者的角色成員資格向使用者授予和撤銷授權,並對已完成的申請執行清理程序。

如需關於「角色服務」驅動程式的詳細資訊,請參閱《Identity Manager 使用者應用程式:管理指南》