1.3 Rôles et attestation
Il est fréquent que les utilisateurs aient besoin d'accéder aux ressources en fonction de leurs rôles dans l'organisation. Par exemple, les avocats d'une société d'avocats peuvent avoir besoin d'accéder à un ensemble de ressources différent de celui utilisé par les adjoints juridiques de la société.
Identity Manager permet de fournir l'accès aux utilisateurs en fonction de leur rôle dans l'organisation. Vous définissez les rôles et effectuez les assignations en fonction des besoins de votre organisation. Lorsqu'un utilisateur est assigné à un rôle, Identity Manager lui donne accès aux ressources associées à ce rôle. Si un utilisateur a plusieurs rôles, il bénéficie de l'accès aux ressources associées à tous ces rôles, comme le montre la figure suivante :
Figure 1-7 Provisioning des ressources en fonction des rôles
Des utilisateurs peuvent se voir ajouter des rôles automatiquement à la suite d'événements intervenant au sein de votre organisation (par exemple, l'ajout d'un nouvel utilisateur possédant le titre d'avocat à votre base de données de ressources humaines SAP). Si une approbation est requise pour qu'un utilisateur soit ajouté à un rôle, vous pouvez définir des workflows pour acheminer les requêtes de ce rôle aux approbateurs appropriés. Vous pouvez également assigner manuellement des utilisateurs à des rôles.
Dans certains cas, il peut exister des rôles qui ne doivent pas être assignés à la même personne du fait d'un conflit entre ces rôles. Identity Manager offre une fonction de séparation des tâches qui permet d'éviter que des utilisateurs soient assignés à des rôles en conflit sauf si une personne de votre organisation définit une exception à ce conflit.
Les assignations de rôle déterminant l'accès d'un utilisateur aux ressources au sein de votre organisation, il est essentiel de les définir correctement. Des assignations incorrectes peuvent compromettre la conformité avec les réglementations de l'entreprise et les réglementations nationales. Identity Manager vous aide à valider la justesse de vos assignations de rôle par l'intermédiaire d'un processus d'attestation. Grâce à ce processus, les personnes responsables au sein de votre organisation certifient les données associées aux rôles :
-
Attestation du profil utilisateur : les utilisateurs sélectionnés attestent de leurs propres informations de profil (prénom, nom, titre, service, adresse électronique, etc.) et corrigent les éventuelles informations erronées. Des informations de profil exactes sont essentielles pour disposer d'assignations de rôle correctes.
-
Attestation de violation de la séparation des tâches : les personnes responsables examinent le rapport de violation de la séparation des tâches et attestent son exactitude. Ce rapport indique les exceptions qui permettent l'assignation d'un utilisateur à des rôles en conflit.
-
Attestation d'assignation de rôle : les personnes responsables examinent le rapport qui répertorie les rôles sélectionnés, ainsi que les utilisateurs, les groupes et les rôles assignés à chaque rôle. Les personnes responsables doivent ensuite attester l'exactitude des informations.
-
Attestation de l'assignation des utilisateurs : les personnes responsables examinent le rapport qui répertorie les utilisateurs sélectionnés, ainsi que les rôles auxquels ils sont assignés. Elles doivent ensuite attester l'exactitude des informations.
Ces rapports d'attestation sont principalement conçus pour vous aider à vérifier que les assignations de rôle sont exactes et qu'il existe des raisons valables pour autoriser des exceptions concernant les rôles en conflit.