15.1 Durchsuchen des Rollenkatalogs

Die Aktion Rollenkatalog auf der Registerkarte Rollen und Ressourcen der Identity Manager-Benutzeroberfläche ermöglicht Ihnen das Anzeigen von Rollen, die zuvor im Katalog definiert wurden. Darüber hinaus können Sie mit dieser Aktion neue Rollen erstellen und vorhandene Rollen bearbeiten, löschen und zuweisen.

15.1.1 Anzeigen von Rollen

  1. Klicken Sie auf die Option Rollenkatalog in der Liste der Aktionen für Rollen und Ressourcen.

    Die Benutzeranwendung zeigt eine Liste der derzeit im Katalog definierten Rollen an.

Filtern der Rollenliste

  1. Klicken Sie auf die Schaltfläche Filter anzeigen in der oberen rechten Ecke der Anzeige Rollenkatalog.

  2. Geben Sie im Dialogfeld Filter eine Filterzeichenkette für den Namen oder die Beschreibung der Rolle an oder wählen Sie eine oder mehrere Rollenebenen oder -kategorien aus.

  3. Klicken Sie auf Filter, um Ihre Auswahlkriterien anzuwenden.

  4. Sie können den aktuellen Filter entfernen, indem Sie auf Zurücksetzen klicken.

Festlegen der Höchstzahl von Rollen auf einer Seite

  1. Klicken Sie auf die Dropdown-Liste Zeilen und wählen Sie die Zeilenanzahl aus, die auf jeder Seite angezeigt werden soll:

Blättern in der Rollenliste

  1. Sie können in der Rollenliste zu einer anderen Seite blättern, indem Sie im unteren Bereich der Liste auf die Schaltfläche „Weiter“, „Zurück“, „Erste“ oder „Letzte“ klicken:

Sortieren der Rollenliste

So sortieren Sie die Rollenliste:

  1. Klicken Sie auf die Überschrift der Spalte, nach der Sie sortieren möchten.

    Der pyramidenförmige Sortierindikator gibt an, welche Spalte die neue Sortierspalte ist. Bei einer aufsteigenden Sortierung wird der Sortierindikator in seiner normalen, nach oben weisenden Position dargestellt.

    Wenn die Sortierung absteigend ist, weist die Spitze des Sortierindikators nach unten.

    Die anfängliche Sortierspalte wird vom Administrator festgelegt.

Wenn Sie die anfängliche Sortierspalte außer Kraft setzen, wird Ihre Sortierspalte zur Liste der erforderlichen Spalten hinzugefügt. Erforderliche Spalten sind mit einem Stern (*) markiert.

Wenn Sie die Sortierreihenfolge für die Aufgabenliste ändern, wird Ihre Einstellung zusammen mit Ihren anderen Benutzereinstellungen im Identitätsdepot gespeichert.

15.1.2 Erstellen neuer Rollen

  1. Klicken Sie auf die Schaltfläche Neu im oberen Bereich der Anzeige Rollenkatalog:

    Die Benutzeranwendung zeigt das Dialogfeld „Neue Rolle“ an:

  2. Geben Sie Details zur Rollendefinition an, wie nachfolgend beschrieben:

    Tabelle 15-1 Rollendetails

    Feld

    Beschreibung

    Anzeigename

    Der Text, der verwendet wird, wenn der Rollenname in der Benutzeranwendung angezeigt wird. Wenn Sie eine Rolle erstellen, darf der Anzeigename folgende Zeichen nicht enthalten:

    < > , ; \ " +  # = / | & *

    Sie können diesen Namen in alle von der Benutzeranwendung unterstützten Sprachen übersetzen. Weitere Informationen finden Sie in Tabelle 1-1, Allgemeine Schaltflächen.

    Beschreibung

    Der Text, der verwendet wird, wenn die Rollenbeschreibung in der Benutzeranwendung angezeigt wird. Wie auch den Anzeigenamen können Sie diesen Text in alle von der Benutzeranwendung unterstützten Sprachen übersetzen. Weitere Informationen finden Sie in Tabelle 1-1, Allgemeine Schaltflächen.

    Rollenebene

    (Nur Lesen beim Modifizieren einer Rolle.) Wählen Sie eine Rollenebene aus der Dropdown-Liste.

    Rollenebenen werden mithilfe des Rollenkonfigurationseditors für den Designer für Identity Manager definiert.

    Rollenuntercontainer

    (Nur Lesen beim Modifizieren einer Rolle.) Die Position für die Rollenobjekte im Treiber. Rollencontainer befinden sich unterhalb der Rollenebenen. Die Benutzeranwendung zeigt nur die Rollencontainer an, die sich in der von Ihnen gewählten Rollenebene befinden. Sie können eine Rolle entweder direkt auf einer Rollenebene oder in einem Container innerhalb der Rollenebene erstellen. Die Angabe des Rollencontainers ist optional.

    Kategorien

    Ermöglicht Ihnen, Rollen für die Rollenorganisation zu kategorisieren. Kategorien werden zur Filterung von Rollenlisten verwendet. Kategorien erlauben Mehrfachauswahlen.

    Eigentümer

    Benutzer, die als Eigentümer der Rollendefinition festgelegt sind. Wenn Sie Berichte für den Rollenkatalog generieren, können Sie Berichte nach dem Rolleneigentümer filtern. Der Rolleneigentümer besitzt nicht automatisch die Autorisierung, Änderungen an einer Rollendefinition zu verwalten.

  3. Klicken Sie auf Speichern, um die Rollendefinition zu speichern.

    Die Benutzeranwendung zeigt im unteren Bereich des Fensters verschiedene zusätzliche Registerkarten zum Fertigstellen der Rollendefinition an.

Definieren der Rollenbeziehungen

Die Registerkarte Rollenbeziehungen ermöglicht Ihnen zu definieren, wie Rollen in einer höheren und niedrigeren Rollenbeinhaltungshierarchie in Bezug zueinander stehen. Diese Hierarchie ermöglicht Ihnen, in Rollen niedrigerer Ebene enthaltene Berechtigungen oder Ressourcen in einer Rolle höherer Ebene zu gruppieren, was die Zuweisung von Berechtigungen erleichtert. Dabei sind folgende Beziehungen erlaubt:

  • Rollen höchster Ebene (Geschäftsrollen) können Rollen niedrigerer Ebene enthalten. Sie können nicht in anderen Rollen enthalten sein. Wenn Sie eine Rolle höchster Ebene auswählen, können Sie über die Seite „Rollenbeziehungen“ nur eine Rollenbeziehung niedrigerer Ebene (eine untergeordnete Rollenbeziehung) hinzufügen.

  • Rollen mittlerer Ebene (IT-Rollen) können Rollen niedrigerer Ebene enthalten und in Rollen höherer Ebene enthalten sein. Auf der Seite „Rollenbeziehungen“ können Sie Rollen niedrigerer Ebene (untergeordnete Rollen) oder höherer Ebene (übergeordnete Rollen) hinzufügen.

  • Rollen der untersten Ebene (Berechtigungsrollen) können in Rollen höherer Ebene enthalten sein, aber keine weiteren Rollen der untersten Ebene enthalten. Auf der Seite „Rollenbeziehungen“ können Sie nur eine Rolle höherer Ebene hinzufügen.

So definieren Sie eine Rollenbeziehung:

  1. Klicken Sie auf die Registerkarte Rollenbeziehungen.

  2. Klicken Sie auf Hinzufügen.

    Das Dialogfeld Rollenbeziehung hinzufügen wird angezeigt.

  3. Geben Sie im Feld Beschreibung der Ausgangsanforderung einen Text ein, der die Beziehung beschreibt.

  4. Geben Sie den gewünschten Beziehungstyp an, indem Sie ihn in der Dropdown-Liste Rollenbeziehung auswählen.

    Wenn es sich bei der neuen Rolle um eine IT-Rolle handelt, können Sie über die Dropdown-Liste Rollenbeziehung eine untergeordnete oder eine übergeordnete Beziehung definieren. Handelt es sich bei der neuen Rolle um eine Geschäftsrolle, zeigt die Dropdown-Liste Rollenbeziehung nur schreibgeschützten Text an, der angibt, dass dies eine untergeordnete Beziehung ist, da nur Rollen niedrigerer Ebene mit einer Geschäftsrolle in Beziehung stehen können. Wenn die neue Rolle eine Berechtigungsrolle ist, zeigt die Dropdown-Liste Rollenbeziehung nur schreibgeschützten Text an, der angibt, dass dies eine übergeordnete Beziehung ist, da nur Rollen höherer Ebene mit einer Berechtigungsrolle in Beziehung stehen können.

    Die Liste der zur Auswahl stehenden Rollen wird dem von Ihnen ausgewählten Typ entsprechend gefiltert.

  5. Verwenden Sie die Objektauswahl rechts neben dem Feld Ausgewählte Rollen, um die Rolle(n) auszuwählen, die Sie mit der neuen Rolle verknüpfen möchten.

  6. Klicken Sie auf Hinzufügen.

Verknüpfen von Ressourcen mit der Rolle

So verknüpfen Sie eine Ressource mit einer Rolle:

  1. Klicken Sie auf die Registerkarte Ressourcen.

  2. Klicken Sie auf Hinzufügen.

    In der Benutzeranwendung wird das Dialogfeld Ressourcenverknüpfung hinzufügen angezeigt.

  3. Mit der Objektauswahl können Sie die gewünschte Ressource auswählen und Text angeben, der den Grund für die Verknüpfung erläutert.

    Der Assistent zeigt eine Seite mit Informationen zur ausgewählten Ressource an, wie z. B. den Namen der Ressourcenkategorie, den Eigentümer, die Berechtigung und die Berechtigungswerte.

    Bei Berechtigungen mit statischen Parameterwerten, die zusätzliche Attribute oder detaillierte Informationen für die Berechtigung bereitstellen, zeigt der Assistent die statischen Werte neben der Bezeichnung Berechtigungswert an. Bei Berechtigungen mit dynamischen Parametern zeigt der Assistent das Ressourcenanforderungsformular an, das Felder für die dynamischen Parameter sowie alle für das Formular definierten Felder zur Entscheidungsfindung enthält.

  4. Geben Sie im Feld Verknüpfungsbeschreibung eine Erläuterung dazu ein, warum die Ressource mit der Rolle verknüpft ist.

  5. Klicken Sie auf Hinzufügen, um die Ressource mit der Rolle zu verknüpfen.

    In der Liste Ressourcenverknüpfungen wird die Ressource angezeigt, die Sie zur Rollendefinition hinzugefügt haben:

    Was geschieht mit vorhandenen Rollenzuweisungen Wenn Sie einer Rolle, der bereits Identitäten zugewiesen wurden, eine neue Ressourcenverknüpfung hinzufügen, initiiert das System eine neue Anforderung, um allen Identitäten den Zugriff auf die Ressource zu gewähren.

So löschen Sie eine Ressourcenverknüpfung für eine Rolle:

  1. Wählen Sie die Ressourcenverknüpfung aus der Liste Ressourcenverknüpfungen aus.

  2. Klicken Sie auf Entfernen.

    Was geschieht mit vorhandenen Rollenzuweisungen Wenn Sie von einer Rolle, der bereits Identitäten zugewiesen wurden, eine Ressourcenverknüpfung entfernen, initiiert das System eine neue Anforderung, um allen Identitäten den Zugriff auf die Ressource zu entziehen.

Definieren des Genehmigungsverfahrens für eine Rolle

So definieren Sie das Genehmigungsverfahren für eine Rolle:

  1. Klicken Sie auf die Registerkarte Genehmigung.

  2. Geben Sie Details zum Genehmigungsverfahren an, wie nachfolgend beschrieben:

    Tabelle 15-2 Genehmigungsdetails

    Feld

    Beschreibung

    Erforderlich

    Aktivieren Sie dieses Kontrollkästchen, wenn bei der Anforderung der Rolle eine Genehmigung erforderlich ist und Sie möchten, dass das Genehmigungsverfahren die standardmäßige Genehmigungsdefinition der Rollenzuweisung ausführt.

    Deaktivieren Sie dieses Kontrollkästchen, wenn bei der Anforderung der Rolle keine Genehmigung erforderlich ist.

    Benutzerdefinierte Genehmigung

    Wählen Sie dieses Optionsfeld, wenn Sie eine benutzerdefinierte Genehmigungsdefinition (Bereitstellungsanforderungsdefinition) verwenden. Mit der Objektauswahl können Sie die Genehmigungsdefinition auswählen.

    Standardgenehmigung

    Wählen Sie dieses Optionsfeld, wenn diese Rolle die standardmäßige Genehmigungsdefinition der Rollenzuweisung verwendet, die in der Konfiguration des Rollen- und Ressourcen-Subsystems angegeben ist. Der Name der Genehmigungsdefinition wird schreibgeschützt in der nachfolgenden Genehmigungsdefinition der Rollenzuweisung angezeigt.

    Sie müssen den Genehmigungstyp (Seriell oder Quorum) und die gültigen Genehmiger auswählen.

    Genehmigungstyp

    Wählen Sie Seriell, wenn die Rolle von allen Benutzern in der Genehmiger-Liste genehmigt werden soll. Die Genehmiger werden nacheinander in der Reihenfolge verarbeitet, in der sie auf der Liste erscheinen.

    Wählen Sie Quorum, wenn die Rolle von einem Prozentsatz der Benutzer in der Genehmiger-Liste genehmigt werden soll. Die Genehmigung ist abgeschlossen, wenn der angegebene Prozentsatz der Benutzer erreicht ist.

    Wenn Sie beispielsweise möchten, dass einer von vier Benutzern in der Liste die Bedingung genehmigt, geben Sie „Quorum“ und einen Prozentsatz von 25 an. Alternativ können Sie 100 % angeben, wenn alle vier Genehmiger die Bedingung genehmigen müssen. Der Wert muss eine Ganzzahl zwischen 1 und 100 sein.

    TIPP:Die Felder „Seriell“ und „Quorum“ haben einen Hover-Text, der ihr Verhalten beschreibt.

    Genehmiger

    Wählen Sie Benutzer, wenn die Rollengenehmigungsaufgabe einem oder mehreren Benutzern zugewiesen werden soll. Wählen Sie Gruppe, wenn die Rollengenehmigungsaufgabe einer Gruppe zugewiesen werden soll. Wählen Sie Container, wenn die Rollengenehmigungsaufgabe einem Container zugewiesen werden soll. Wählen Sie Rolle, wenn die Rollengenehmigungsaufgabe einer Rolle zugewiesen werden soll.

    Verwenden Sie zum Auffinden eines bestimmten Benutzers, einer Gruppe, eines Containers oder einer Rolle die Objektauswahl. Wie Sie die Reihenfolge der Genehmiger in der Liste ändern oder einen Genehmiger entfernen, wird unter Abschnitt 1.4.4, Allgemeine Benutzeraktionen beschrieben.

Rollenzuweisungen vornehmen

Detaillierte Informationen zum Erstellen von Rollenzuweisungen finden Sie unter Abschnitt 15.1.5, Rollen zuweisen.

Prüfen des Status von Anforderungen

Die Aktion Anforderungsstatus ermöglicht es Ihnen, den Status Ihrer Rollenzuweisungsanforderungen anzuzeigen, einschließlich der Anforderungen, die Sie direkt gestellt haben, sowie der Rollenzuweisungsanforderungen für Gruppen und Container, denen Sie angehören. Sie können den aktuellen Status jeder Anforderung abrufen. Darüber hinaus haben Sie die Möglichkeit, eine noch nicht abgeschlossene oder abgebrochene Anforderung zurückzuziehen, falls diese nicht erfüllt werden muss.

Die Aktion Anforderungsstatus zeigt alle Rollenzuweisungsanforderungen an, einschließlich derer, die laufen, auf Genehmigung warten, genehmigt, abgeschlossen, verweigert oder abgebrochen wurden.

So zeigen Sie den Status von Rollenzuweisungsanforderungen an:

  1. Klicken Sie auf die Registerkarte Anforderungsstatus.

  2. Wenn Sie detaillierte Statusinformationen für eine Anforderung anzeigen möchten, klicken Sie auf den Status:

    Das Fenster „Zuweisungsdetails“ wird angezeigt:

    Details zur Bedeutung der Statuswerte finden Sie unter Abschnitt 10.4, Anzeige des Anforderungsstatus.

  3. Wählen Sie zum Zurückziehen einer Anforderung diese aus und klicken Sie auf Zurückziehen.

    Sie benötigen die Berechtigung zum Zurückziehen einer Anforderung.

    Wenn die Anforderung abgeschlossen oder beendet wurde, wird eine Fehlermeldung angezeigt, wenn Sie versuchen, die Anforderung zurückzuziehen.

15.1.3 Bearbeiten einer vorhandenen Rolle

  1. Wählen Sie eine zuvor definierte Rolle aus und klicken Sie auf Bearbeiten.

  2. Nehmen Sie die gewünschten Änderungen an den Rolleneinstellungen vor und klicken Sie auf Speichern.

Mit vorhandenen Rollen verknüpfte Berechtigungen Rollen, die in früheren Versionen des rollenbasierten Bereitstellungsmoduls definiert wurden, haben möglicherweise verknüpfte Berechtigungen. Wenn eine Rolle über eine verknüpfte Berechtigung verfügt, wird in der Benutzeroberfläche die Registerkarte Berechtigungen angezeigt, auf der die Berechtigungszuordnungen aufgelistet sind und optional entfernt werden können. Berechtigungszuordnungen für Rollen laufen in dieser Version aus. Sie können zwar in dieser Version weiter verwendet werden, aber Novell empfiehlt, dass Sie Berechtigungen mit Ressourcen verknüpfen und nicht mit Rollen.

15.1.4 Löschen von Rollen

  1. Wählen Sie eine zuvor definierte Rolle aus und klicken Sie auf Löschen.

    Was geschieht mit vorhandenen Rollenzuweisungen Wenn Sie eine Rolle löschen, die über eine verknüpfte Ressource verfügt und der eine oder mehrere Identitäten zugewiesen wurden, entfernt das System die Ressourcenzuweisung von allen Identitäten, die eine verknüpfte Ressource haben.

ACHTUNG:Ein Rollenmanager kann Systemrollen löschen, wenn er über die Berechtigung zum Löschen von Rollen (oder des Containers, der diese Rollen enthält) verfügt. Die Systemrollen dürfen nicht gelöscht werden. Wenn eine der Systemrollen gelöscht wird, führt dies zu einem Defekt der Benutzeranwendung.

15.1.5 Rollen zuweisen

Sie können eine Rolle auf zwei verschiedene Arten zuweisen:

  • Anhand des Rollenkatalogs

  • Anhand des Dialogfelds Rolle bearbeiten

Beide Methoden werden nachfolgend beschrieben.

Zuweisen einer Rolle aus dem Katalog

  1. Wählen Sie im Rollenkatalog eine zuvor definierte Rolle aus und klicken Sie auf Zuweisen.

    In der Benutzeranwendung wird das Dialogfeld Rolle zuweisen angezeigt:

  2. Füllen Sie die Felder im Dialogfeld Rolle zuweisen aus:

    1. Geben Sie im Feld Beschreibung der Ausgangsanforderung einen Text ein, der den Grund für die Anforderung beschreibt.

    2. Wählen Sie im Feld „Zuweisungstyp“ die Option Benutzer, Gruppe oder Container aus, um anzugeben, welchem Identitätstyp die Rolle zugewiesen wird.

    3. Geben Sie in der Objektauswahl eine Zeichenkette ein, nach der gesucht werden soll, und klicken Sie auf „Suchen“. Wählen Sie die Benutzer, Gruppen oder Container aus, die Sie zuweisen möchten.

      Zuweisen einer Rolle zu mehreren Identitäten Sie können einen oder mehrere Benutzer, Gruppen oder Container für die Rollenzuweisung auswählen. Wenn Sie mehrere Identitäten auswählen, erhalten alle ausgewählten Identitäten dieselben Rollenzuweisungswerte.

    4. Geben Sie im Feld Datum des Inkrafttretens das Anfangsdatum für die Rollenzuweisung an.

      Sie können ein Datum im Format MM/TT/JJJJ hh:mm:ss a eingeben (wobei „a“ für „AM“ oder „PM“ steht). Alternativ können Sie auf das Kalendersymbol klicken und das Datum im daraufhin angezeigten Kalenderfenster auswählen:

    5. Geben Sie im Feld Ablaufdatum das Ablaufdatum für die Rollenzuweisung an.

      Klicken Sie auf Ablauf angeben, um ein Ablaufdatum anzugeben. Sie können ein Datum im Format MM/TT/JJJJ hh:mm:ss a eingeben (wobei a für „AM“ oder „PM“ steht). Alternativ können Sie auf das Kalendersymbol klicken und das Datum im daraufhin angezeigten Kalenderfenster auswählen.

      Standardmäßig ist Kein Ablaufdatum festgelegt, was angibt, dass diese Rollenzuweisung für unbestimmte Zeit wirksam bleibt.

  3. Klicken Sie auf Senden.

Zuweisen einer Rolle über das Dialogfeld „Rolle bearbeiten“

  1. Wählen Sie im Rollenkatalog eine Rolle aus und klicken Sie auf Bearbeiten, um das Dialogfeld Rolle bearbeiten zu öffnen.

  2. Klicken Sie auf die Registerkarte Zuweisungen.

    Auf der Registerkarte Zuweisungen wird eine Liste von Zuweisungen angezeigt, die für die ausgewählte Rolle gewährt wurden.

  3. Sie können eine neue Zuweisung hinzufügen, indem Sie auf Zuweisen klicken.

    In der Benutzeranwendung wird das Dialogfeld Rolle zuweisen angezeigt:

    Einzelheiten zum Arbeiten mit dem Rollenzuweisungs-Anforderungsformular finden Sie unter Zuweisen einer Rolle aus dem Katalog.

15.1.6 Aktualisieren der Rollenliste

  1. Klicken Sie auf Aktualisieren.

15.1.7 Anpassen der Anzeige der Rollenliste

Im Rollenkatalog können Sie Spalten auswählen bzw. deren Auswahl aufheben sowie die Reihenfolge der Spalten innerhalb der Anzeige der Aufgabenliste ändern. Dieses Verhalten wird durch eine Einstellung im Dialogfeld Darstellung des Rollenkatalogs anpassen gesteuert. Wenn Sie die Spaltenliste oder die Reihenfolge der Spalten ändern, werden Ihre Anpassungen zusammen mit Ihren anderen Benutzereinstellungen im Identitätsdepot gespeichert.

So passen Sie die Anzeige von Spalten an:

  1. Klicken Sie auf die Option Anpassen im Rollenkatalog:

    Die Benutzeranwendung zeigt die Liste der derzeit für die Anzeige ausgewählten Spalten sowie eine Liste von zusätzlichen Spalten an, die zur Auswahl verfügbar sind.

  2. Sie können eine zusätzliche Spalte in die Anzeige aufnehmen, indem Sie die Spalte im Listenfeld Verfügbare Spalten auswählen und in das Listenfeld Ausgewählte Spalten ziehen.

    Wenn Sie mehrere Spalten in der Liste auswählen möchten, halten Sie die Strg-Taste gedrückt und wählen Sie die Spalten aus. Wenn Sie einen Bereich von Spalten auswählen möchten, die zusammen in der Liste angezeigt werden, halten Sie die Umschalttaste gedrückt und wählen Sie die Spalten aus.

    Sie können die Reihenfolge der Spalten in der Anzeige ändern, indem Sie die Spalten im Listenfeld Ausgewählte Spalten nach oben bzw. nach unten verschieben.

  3. Wenn Sie eine Spalte aus der Anzeige entfernen möchten, wählen Sie die Spalte im Listenfeld Ausgewählte Spalten aus und ziehen Sie sie in das Listenfeld Verfügbare Spalten.

    Die Spalte Rollenname ist obligatorisch und kann nicht aus der Anzeige der Rollenliste entfernt werden.

  4. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.