Création de règles de droits

Utilisez l'assistant fourni pour créer une règle de droit.

1. Vérifiez que vous avez configuré le pilote de service de droits et que vous avez créé les configurations de pilote nécessaires.

2. Dans iManager, cliquez sur Droits basés sur le rôle > Droits basés sur le rôle.

3. Sélectionnez un ensemble de pilotes.

   Chaque ensemble de pilotes possède ses propres règles de droits.

   La liste des règles de droits existantes s'ouvre, comme sur la page de la capture suivante. Si vous utilisez les droits basés sur le rôle pour la première fois, aucune règle ne figure dans la liste.

   
   

4. Cliquez sur Nouveau.

   L'assistant de création d'une nouvelle règle de droit s'ouvre.

5. Suivez les étapes de l'assistant pour créer une nouvelle règle.

Consultez l'aide en ligne pour plu d'informations sur chaque étape de l'assistant.

Définition de l'appartenance à un groupe pour une règle de droit

À l'instar d'un pilote DirXML, chaque règle de droit ne peut gérer que les objets qui se trouvent dans une réplique principale ou en lecture/écriture sur le serveur auquel elle est assignée. Chaque règle de droit est associée à un seul objet ensemble de pilotes qui est assigné à un serveur particulier.

Seuls les objets utilisateur (et d'autres types d'objets dérivés de la classe utilisateur) peuvent être membres d'une règle de droit.

Une règle de droit est un objet de groupe dynamique. Vous pouvez définir l'appartenance à un groupe pour une règle de droit à l'aide de deux méthodes : dynamique et statique. Vous pouvez utiliser ces deux méthodes dans la même règle de droit.

• Dynamique : Vous pouvez définir des critères d'appartenance à un groupe fondés sur les valeurs des attributs de l'objet, par exemple si l'appellation d'emploi doit ou non contenir le terme Responsable. Les critères que vous spécifiez sont convertis en un filtre LDAP.

  Les utilisateurs qui satisfont ces critères sont automatiquement inclus dans la règle de droit sans que vous ayez à ajouter spécifiquement chaque utilisateur à la règle. L'appartenance à un groupe dynamique est identique à un objet Groupe dynamique.

  Si un objet est modifié et ne satisfait alors plus aux critères d'appartenance à un groupe dynamique, ses droits sont automatiquement supprimés.

  
  

• Statique : Outre la création de critères pour l'appartenance à un groupe dynamique (un filtre LDAP), vous pouvez inclure ou exclure des utilisateurs.

  Vous pouvez ajouter statiquement des membres qui ne satisfont pas aux critères du filtre. Vous pouvez exclure des membres qui satisfont aux critères du filtre mais qui ne doivent pas être inclus dans la règle de droit.

Choix des droits pour une règle de droit

Les droits basés sur le rôle permettent d'accorder des droits sur les systèmes connectés et des droits dans eDirectory.

Les pilotes qui prennent en charge les droits basés sur le rôle proposent une liste de droits qui peuvent être assignés à l'aide d'une règle de droit. Les droits que le pilote peut fournir figurent dans une liste du manifeste de pilote, créée par le développeur du pilote pour représenter les fonctions du pilote et du système connecté. Le manifeste de pilote ne doit pas être modifié par un administrateur Identity Manager.

Des droits d'ayant droit sur les objets dans eDirectory sont immédiatement accordés aux membres de la règle de droit. Par défaut, les droits dans les systèmes connectés sont accordés à chaque membre de la règle de droit lors de la modification pour cet utilisateur d'un attribut utilisé pour l'appartenance à la règle de droit, ou lorsqu'un utilisateur est déplacé dans un autre conteneur ou renommé.

Les droits sur les systèmes connectés peuvent être les suivants :

• Comptes
• Appartenance aux listes de distribution de courrier électronique
• Appartenance à des listes NOS
• Attributs pour les objets correspondants des systèmes connectés, peuplés avec les valeurs que vous spécifiez
• Autres droits que vous personnalisez

Cette section contient les informations suivantes :

• Comptes sur les systèmes connectés
• Appartenance à des listes de distribution de courrier électronique et des listes NOS
• Valeurs d'attribut sur les systèmes connectés

Comptes sur les systèmes connectés

Pour ajouter des droits à une règle de droit, allez sur la page Droits, puis sélectionnez un pilote. Une fenêtre contextuelle indiquant les droits proposés par ce pilote s'affiche.

Ainsi, sur la capture suivante, vous pouvez voir deux sortes de droits proposés par un pilote GroupWise, le premier dans la liste étant un compte utilisateur GroupWise.

Appartenance à des listes de distribution de courrier électronique et des listes NOS

Pour assigner une appartenance à des groupes sur des systèmes connectés, choisissez le droit d'appartenance dans la liste des droits proposés par un pilote.

La capture suivante présente un exemple, les listes de distribution GroupWise figurant en deuxième position dans la liste.

Si vous choisissez les listes de distribution GroupWise dans cet exemple, une fenêtre contextuelle de requête s'affiche, comme dans l'exemple sur la capture suivante.

L'interface de règle de droit permet de lancer une requête pour obtenir une liste de distribution de courrier électronique ou des listes NOS. Une fois la requête effectuée, vous pouvez choisir de consulter la liste mise en cache.

Les pilotes sont configurés pour renvoyer la liste complète afin que vous puissiez faire votre choix dans la liste qui se trouve sur le système connecté.

NOTE:  Vous pouvez personnaliser un pilote pour limiter la liste aux noms de groupes que vous saisissez plutôt que d'utiliser une requête qui renvoie la liste complète.

Valeurs d'attribut sur les systèmes connectés

Vous pouvez assigner des valeurs d'attribut aux comptes utilisateur sur les systèmes connectés. L'interface fournie permet de saisir la valeur que vous souhaitez que les comptes utilisateur aient.

La capture suivante présente un exemple d'ajout d'une valeur d'attribut pour un attribut Notes, Service.