Les droits basés sur le rôle permettent de définir des règles d'entreprise relatives aux personnes auxquelles doivent être accordés des droits dans votre environnement. Utilisez une règle de droit (un groupe dynamique eDirectory amélioré) pour définir les utilisateurs auxquels doivent être accordés des droits en fonction de critères de recherche dynamique, par exemple une appellation d'emploi Testeur. Vous pouvez gérer les exceptions à l'aide d'une liste statique d'inclusions et d'exclusions pour la règle.
Une fois les utilisateurs auxquels s'applique la règle définis, vous spécifiez les droits que vous souhaitez leur accorder sur les systèmes connectés. Vous pouvez aussi accorder des droits dans eDirectory comme pour n'importe quel groupe dynamique.
Les droits sur les systèmes connectés sont accordés par les pilotes DirXML configurés pour prendre en charge les droits basés sur le rôle.
Ce modèle d'administration des règles d'entreprise diffère de la méthode traditionnelle de provisioning avec Identity Manager ; en effet, vous spécifiez les règles d'entreprise en amont de la configuration du pilote DirXML.
Les droits sur les systèmes connectés sont habituellement administrés pilote par pilote ; il suffit de créer et de modifier les règles de configuration des pilotes, telles que celles créées avec le Générateur de règles. Selon ce modèle distribué traditionnel, un administrateur souvent différent contrôle chaque pilote DirXML et système connecté ; les règles d'entreprise qui déterminent si un utilisateur a le droit ou non d'accéder aux ressources de ce système sont codées en dur dans les règles de configuration des pilotes, indépendamment pour le pilote de chaque système connecté.
Le modèle de droits basés sur le rôle est particulièrement adapté à un environnement dans lequel un seul administrateur, ou un petit nombre d'entre eux, est chargé du contrôle des règles d'entreprise. Un tel administrateur doit connaître Identity Manager dans sa globalité, mais n'est pas obligé de maîtriser parfaitement Identity Manager ou XSLT pour utiliser l'interface des droits basés sur le rôle.
Une autre différence entre les droits basés sur le rôle et l'administration traditionnelle d'Identity Manager réside dans le fait que les règles de droit apportent des modifications directement dans un environnement de production. Les modifications apportées aux configurations de pilote sont en général préalablement testées en laboratoire. Les règles de droit permettent de simplifier la modification des règles d'entreprise, mais vous devez être prudent lorsque vous effectuez ces modifications dans votre environnement de production. Pour des suggestions, reportez-vous à la section Sécurisation des comptes.
Voici un scénario destiné à vous faire comprendre les différences entre les deux méthodes :
Supposons que vous souhaitez accorder automatiquement à chaque nouvel employé l'appellation d'emploi Testeur, en lui attribuant deux éléments :
Traditionnelle : Dans le modèle traditionnel, un développeur Identity Manager utilise le Générateur de règles ou une feuille de style pour coder en dur la règle d'entreprise dans la configuration des pilotes DirXML pour JDBC et GroupWise.
Droits basés sur le rôle : Utilisez les droits basés sur le rôle dans cet exemple, pour créer une règle de droit et définir une appartenance de groupe dynamique pour l'appellation d'emploi Testeur. Un développeur Identity Manager peut également configurer les pilotes DirXML pour GroupWise et JDBC de manière à ce qu'ils prennent en charge les droits basés sur le rôle. Les pilotes accordent alors des comptes aux utilisateurs qui satisfont aux critères d'appartenance de groupe dynamiques.
À ce stade, le résultat est identique dans l'exemple. Quelle que soit la méthode utilisée, un compte est automatiquement accordé aux utilisateurs dont l'appellation d'emploi est Testeur.
Cependant, si vous utilisez le modèle des droits basés sur le rôle, vous n'êtes pas obligé de disposer d'autant de connaissances sur Identity Manager pour modifier cette règle d'entreprise.
Supposons qu'après avoir configuré la règle d'entreprise, vous découvrez que vous devez également attribuer les mêmes types de comptes aux utilisateurs dont l'appellation d'emploi est Responsable des tests.
Traditionnelle : Selon le modèle traditionnel, un développeur Identity Manager utilise le Générateur de règles pour coder en dur les modifications à apporter à la règle d'entreprise en deux points :
Droits basés sur le rôle : Selon le modèle des droits basés sur le rôle, un administrateur réseau maîtrisant les filtres LDAP peut facilement ajouter les critères utilisateur supplémentaires à l'appartenance de groupe dynamique dans la règle de droit sans modifier le script DirXML. Les pilotes JDBC et GroupWise accordent alors les comptes aux utilisateurs appropriés sans modifier la configuration des pilotes.