Sommaire
|
Rôles
Un rôle est un mécanisme d'entrée Directory Server proche du concept de groupe. Un rôle comprend des membres, tout comme un groupe. Les membres d'un rôle sont les entrées LDAP qui possèdent le rôle. Le critère du rôle est défini en tant qu'entrée LDAP dotée d'attributs et est identifié par l'attribut Nom distinctif de l'entrée. Directory Server dispose d'un certain nombre de types de rôle, mais Access Manager ne peut en gérer qu'un seul : le rôle géré.
Access Manager utilise des rôles pour appliquer des instructions de contrôle d'accès. Lors de sa première installation, Access Manager définissent des instructions de contrôle d'accès (ACI) qui déterminent les droits de l'administrateur. Ces ACI sont ensuite désignées dans des rôles (par exemple, rôle Admin organisation et rôle Admin assistance organisation) qui, une fois assignés à un utilisateur, définissent ses droits d'accès.
Les utilisateurs peuvent visualiser les rôles qui leur sont affectés uniquement si l'attribut Afficher les rôles de l'utilisateur est activé dans le service d'administration.
Cette section comprend les sous-sections suivantes :
Pour créer un rôle statique
Vous pouvez créer un rôle statique sans ajouter d'utilisateurs à ce stade de la création du rôle. Cela vous permet de mieux contrôler l'ajout d'utilisateurs spécifiques à un rôle donné.
- Dans le volet de navigation, cliquez sur Nouveau. Le modèle Nouveau rôle s’affiche dans le volet des données.
- Sélectionnez Rôle statique et entrez un nom. Cliquez sur Suivant.
- Entrez une description pour le rôle.
- Dans le menu Type, sélectionnez le type de rôle.
Il peut s’agir d’un rôle d'administration ou de service. Le type de rôle est utilisé par la console pour déterminer où démarrer l’utilisateur dans la console Access Manager. Un rôle d'administration indique à la console que le détenteur du rôle dispose de privilèges d'administration ; un rôle de service lui indique que le détenteur est un utilisateur final.
- Dans le menu Autorisations d’accès, sélectionnez un groupe d’autorisations par défaut à appliquer au rôle.
Les autorisations permettent d’accéder aux entrées de l’organisation. Pour lire la description de ces rôles, reportez-vous à la section « Default Role Permissions (ACIs) » (Autorisations de rôle par défaut (ACI)) dans la partie 4 du manuel Access Manager Administration Guide. (Les autorisations par défaut présentées le sont sans ordre particulier.)
En règle générale, l'ACI Aucune autorisation est affectée aux rôles Service, tandis que les rôles Admin sont associés à n'importe quelle ACI par défaut.
- Cliquez sur Terminer.
Le rôle créé est affiché dans le volet de navigation, tandis que les informations de statut associées au rôle apparaissent dans le volet des données.
Vous pouvez si vous le souhaitez configurer les options d'affichage et les actions disponibles en les sélectionnant dans le menu Afficher.
Pour créer un rôle filtré
Un rôle filtré est un rôle dynamique créé à l’aide d’un filtre LDAP. Tous les utilisateurs sont filtrés et affectés au rôle au moment de sa création. Le filtre recherche une paire de valeurs d'attribut donnée (par exemple, ca=user*) dans une entrée et affecte automatiquement au rôle les utilisateurs qui contiennent cet attribut.
- Dans le volet de navigation, accédez à l'organisation dans laquelle le rôle sera créé.
- Dans le menu Afficher, sélectionnez la rubrique Rôles.
Un groupe de rôles par défaut, créé lors de la configuration d’une organisation, est affiché dans le volet de navigation.
Pour lire la description de ces rôles, reportez-vous à la section « Dynamic Administrative Roles ACIs » (ACI de rôle Admin dynamique) dans la partie 4 du manuel Access Manager Administration Guide.
- Dans le volet de navigation, cliquez sur Nouveau. Le modèle Nouveau rôle s’affiche dans le volet des données.
- Sélectionnez Rôle filtré et entrez un nom. Cliquez sur Suivant.
- Entrez une description pour le rôle.
- Dans le menu Type, sélectionnez le type de rôle.
Il peut s’agir d’un rôle d'administration ou de service. Le type de rôle est utilisé par la console pour déterminer où démarrer l’utilisateur dans la console Access Manager. Un rôle d'administration indique à la console que le détenteur du rôle dispose de privilèges d'administration ; un rôle de service lui indique que le détenteur est un utilisateur final.
- Dans le menu Autorisations d’accès, sélectionnez un groupe d’autorisations par défaut à appliquer au rôle.
Les autorisations permettent d’accéder aux entrées de l’organisation. Pour lire la description de ces rôles, reportez-vous à la section « Default Role Permissions (ACIs) » (Autorisations de rôle par défaut (ACI)) dans la partie 4 du manuel Access Manager Administration Guide. (Les autorisations par défaut présentées le sont sans ordre particulier.)
En règle générale, l'ACI Aucune autorisation est affectée aux rôles Service, tandis que les rôles Admin sont associés à n'importe quelle ACI par défaut.
- Entrez les détails des critères de recherche. Ces champs sont les suivants :
Correspondance : permet d'inclure un opérateur pour un champ quelconque à prendre en compte dans le filtre. ALL renvoie des utilisateurs pour tous les champs spécifiés. ANY renvoie des utilisateurs pour l'un des champs spécifiés.
Prénom : permet de rechercher des utilisateurs sur la base de leur prénom.
Statut de l'utilisateur : permet de rechercher des utilisateurs sur la base de leur statut (« actif » ou « inactif »).
ID utilisateur : permet de rechercher un utilisateur sur la base de son ID.
Nom : permet de rechercher des utilisateurs sur la base de leur nom.
Nom complet : permet de rechercher des utilisateurs sur la base de leur nom complet.
Vous pouvez aussi sélectionner le bouton Avancé pour définir vous-même les attributs du filtre. Exemple :
(&(uid=utilisateur1)(|(inetuserstatus=actif)(!(inetuserstatus=*))))
Si le filtre n'est pas défini, par défaut, le rôle suivant est créé :
(objectclass = inetorgperson)
Cliquez sur Réinitialiser pour effacer les propriétés du filtre ou sur Annuler pour annuler la création du rôle.
- Cliquez sur Terminer pour lancer la recherche sur la base des critères du filtre. Les utilisateurs correspondant aux critères du filtre sont automatiquement affectés au rôle.
Vous pouvez si vous le souhaitez configurer les options d'affichage et les actions disponibles en les sélectionnant dans le menu Afficher.
Pour supprimer un rôle
- Accédez à l’organisation qui contient le rôle à supprimer.
- Dans le menu Afficher du module Gestion des identités, sélectionnez la rubrique Organisations, puis choisissez l'organisation qui vous intéresse dans le volet de navigation. Dans le chemin d’accès à l’emplacement, vous pouvez voir l’organisation de niveau supérieur et l’organisation choisie.
- Dans le menu Afficher, sélectionnez la rubrique Rôles.
- Cochez la case située en regard du nom du rôle à supprimer.
- Cliquez sur Supprimer.
Pour ajouter un rôle à une modalité
Des objets Access Manager sont ajoutés à une modalité lors de la définition de l'objet de celle-ci. Lors de la création ou de la modification d'une modalité, des organisations, des rôles, des groupes et des utilisateurs peuvent être définis en tant qu'objet dans la page Objet de la modalité. Une fois l'objet défini, la modalité est appliquée à l'objet correspondant.
Sommaire |