9.6 Autorisations de sécurité pour le tableau de bord de travail
Cette section décrit les autorisations nécessaires à chaque utilisateur pour effectuer diverses opérations dans le tableau de bord de travail. Les rubriques sont les suivantes :
9.6.1 Self-service des utilisateurs
L'utilisateur authentifié peut effectuer des opérations de self-service pour des tâches dans le tableau de bord de travail sans aucune autorisation de sécurité, comme décrit dans le tableau ci-dessous.
Tableau 9-5 Notifications de tâches pour le self-service des utilisateurs
|
Afficher la tâche dans la liste |
Destinataire de la tâche
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
REMARQUE :en mode self-service, l'administrateur ou le gestionnaire de domaine peuvent aussi afficher les tâches dont ils sont les receveurs.
|
Aucune. |
|
Afficher et utiliser les détails de la tâche |
Destinataire de la tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Aucune. |
|
Afficher les commentaires de workflow |
Destinataire de la tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Aucune. |
L'utilisateur authentifié nécessite des droits de consultation des entrées pour assigner ou supprimer des assignations de rôles et de ressources, comme décrit dans le tableau ci-dessous.
Tableau 9-6 Assignations de rôles et de ressources pour le self-service des utilisateurs
|
Afficher le rôle ou la ressource dans la liste |
Receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient. |
Aucune. |
|
Assigner ou supprimer une assignation pour un rôle ou une ressource |
Receveur.
Les opérations Accorder et Révoquer s'appliquent à l'utilisateur authentifié uniquement. |
Ayant droit (consultation des entrées). |
L'utilisateur authentifié nécessite des droits de consultation des entrées pour certaines opérations d'état de requête, comme décrit dans le tableau ci-dessous.
Tableau 9-7 État de requête pour le self-service des utilisateurs
|
Afficher les requêtes de processus dans une liste |
Initiateur ou receveur. |
Aucune. |
|
Afficher et utiliser le détail de la requête de processus |
Initiateur ou receveur (si l'option est définie sur faux dans Designer).
Si l'option est définie sur vrai, l'affichage est limité aux tâches initiées par l'utilisateur, même si celui-ci dispose de droits de consultation. |
Ayant droit (consultation des entrées). |
|
Retirer les requêtes de processus |
Initiateur et receveur.
La requête doit être retirable, autrement dit, elle ne peut pas avoir été approuvée, refusée, annulée ni provisionnée. |
Ayant droit (consultation des entrées). |
|
Afficher les commentaires de workflow pour les requêtes de processus |
Initiateur ou receveur (si l'option est définie sur faux dans Designer).
Si l'option est définie sur vrai, l'affichage est limité aux tâches initiées par l'utilisateur, même si celui-ci dispose de droits de consultation. |
Ayant droit (consultation des entrées). |
|
Afficher les requêtes de rôles ou de ressources dans une liste |
Initiateur ou receveur. |
Aucune. |
|
Afficher et utiliser le détail de la requête de rôle ou de ressource |
Initiateur ou receveur. |
Ayant droit (consultation des entrées). |
|
Retirer des requêtes de rôles ou de ressources |
Initiateur et receveur.
La requête doit être retirable, autrement dit, elle ne peut pas avoir été approuvée, refusée, annulée ni provisionnée. |
Ayant droit (consultation des entrées). |
|
Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources |
Initiateur ou receveur. |
Ayant droit de rôle/ressource (consultation des entrées). |
9.6.2 Administrateur de domaine en mode de gestion
En mode de gestion, l'administrateur de domaine peut effectuer des opérations pour des tâches dans le tableau de bord de travail sans aucune autorisation de sécurité, comme décrit dans le tableau ci-dessous.
Tableau 9-8 Notifications de tâches pour l'administrateur de domaine en mode de gestion
|
Afficher la tâche dans une liste |
Destinataire ou receveur d'une tâche.
REMARQUE :un rôle ne peut pas être le receveur d'une tâche. Il ne peut en être que le destinataire.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Aucune. |
|
Afficher et utiliser le détail de la tâche |
Destinataire ou receveur d'une tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Aucune. |
|
Afficher les commentaires de workflow |
Destinataire ou receveur d'une tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Aucune. |
En mode de gestion, l'administrateur de domaine peut effectuer toutes les opérations d'assignations de rôles et de ressources dans le tableau de bord de travail sans aucune permission de sécurité, comme décrit dans le tableau ci-dessous.
Tableau 9-9 Assignations de rôles et de ressources pour les administrateurs de domaine en mode de gestion
|
Afficher le rôle ou la ressource dans une liste |
Receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient. |
Aucune. |
|
Assigner ou supprimer une assignation pour un rôle ou une ressource |
Receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient. |
Aucune.
Dans le tableau de bord de travail, l'administrateur de domaine peut modifier, assigner ou supprimer toutes les assignations de rôles, à l'exception des assignations de rôles système ne figurant pas dans le domaine qu'il est autorisé à administrer. Cela signifie que l'administrateur de domaine de rôles peut supprimer des assignations d'administrateur et de gestionnaire de rôles, mais n'est pas autorisé à supprimer des assignations d'administrateur ou de gestionnaire de ressources.
Un administrateur peut afficher et éditer n'importe quelle ressource. |
En mode de gestion, l'administrateur de domaine peut effectuer des opérations de self-service pour l'état des requêtes dans le tableau de bord de travail sans aucune autorisation de sécurité, comme décrit dans le tableau ci-dessous.
Tableau 9-10 État des requêtes pour les administrateurs de domaine en mode de gestion
|
Afficher les requêtes de processus dans une liste |
Initiateur ou receveur. |
Aucune. |
|
Afficher et utiliser le détail de la requête de processus |
Initiateur ou receveur. |
Aucune. |
|
Retirer les requêtes de processus |
Initiateur ou receveur. |
Aucune. |
|
Afficher les commentaires de workflow pour les requêtes de processus |
Initiateur ou receveur. |
Aucune. |
|
Afficher les requêtes de rôles ou de ressources dans une liste |
Initiateur ou receveur. |
Aucune. |
|
Afficher et utiliser le détail de la requête de rôle ou de ressource |
Initiateur ou receveur.
L'administrateur de domaine ne voit pas les requêtes pour les rôles système. |
Aucune.
L'administrateur de domaine peut afficher toutes les requêtes de rôles, sauf les requêtes de rôles système.
Un administrateur de domaine peut afficher et éditer n'importe quelle ressource. |
|
Retirer des requêtes de rôles ou de ressources |
Initiateur ou receveur.
La requête doit être dans un état retirable.
L'administrateur de domaine ne peut pas retirer les requêtes pour les rôles système. |
Aucune.
L'administrateur de domaine peut retirer toutes les requêtes de rôles, sauf les requêtes de rôles système.
Un administrateur de domaine peut afficher et éditer n'importe quelle ressource. |
|
Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources |
Initiateur ou receveur.
L'administrateur de domaine ne peut pas afficher les commentaires de workflow pour les rôles système. |
Aucune.
L'administrateur de domaine peut afficher et éditer tous les rôles, sauf les rôles système.
Un administrateur de domaine peut afficher et éditer n'importe quelle ressource. |
9.6.3 Gestionnaire de domaine en mode de gestion
En mode de gestion, le gestionnaire de domaine peut afficher des tâches sans aucune autorisation de sécurité. En revanche, pour l'affichage des détails des tâches et des commentaires de workflow, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.
Tableau 9-11 Notifications de tâches pour les gestionnaires de domaine en mode de gestion
|
Afficher la tâche dans une liste |
Destinataire ou receveur d'une tâche.
REMARQUE :un rôle ne peut pas être le receveur d'une tâche. Il ne peut en être que le destinataire.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Aucune. |
|
Afficher le détail de la tâche |
Destinataire ou receveur d'une tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Gestion de la tâche du destinataire
|
|
Afficher les commentaires de workflow |
Destinataire ou receveur d'une tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Gérer la tâche du destinataire |
En mode de gestion, le gestionnaire de domaine peut afficher les assignations de rôles et de ressources sans aucune autorisation de sécurité. En revanche, pour assigner des rôles et des ressources ou supprimer des assignations existantes, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.
Tableau 9-12 Assignations de rôles et de ressources pour les gestionnaires de domaine en mode de gestion
|
Afficher le rôle ou la ressource dans une liste |
Receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient. |
Aucune. |
|
Assigner ou supprimer une assignation pour un rôle ou une ressource |
Receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient. |
Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :
-
Assigner le rôle à l'utilisateur
-
Révoquer le rôle de l'utilisateur
-
Assigner un rôle au groupe et au conteneur
-
Révoquer le rôle du groupe et du conteneur
Une ou plusieurs des autorisations d'ayant droit suivantes pour une ressource :
-
Assigner la ressource
-
Révoquer la ressource
|
En mode de gestion, le gestionnaire de domaine peut afficher les requêtes de processus, de rôles et de ressources sans aucune autorisation de sécurité, mais il doit disposer d'une autorisation pour afficher les détails des requêtes et les commentaires de workflow, ainsi que pour retirer des requêtes, comme décrit dans le tableau ci-dessous.
Tableau 9-13 État des requêtes pour les gestionnaires de domaine en mode de gestion
|
Afficher les requêtes de processus dans une liste |
Initiateur ou receveur. |
Aucune. |
|
Afficher et utiliser le détail de la requête de processus |
Initiateur ou receveur. |
Afficher les définitions de requête de provisioning en cours d'exécution |
|
Retirer les requêtes de processus |
Initiateur ou receveur. |
Retirer la PRD |
|
Afficher les commentaires de workflow pour les requêtes de processus |
Initiateur ou receveur. |
Afficher les définitions de requête de provisioning en cours d'exécution |
|
Afficher les requêtes de rôles ou de ressources dans une liste |
Initiateur ou receveur. |
Aucune. |
|
Afficher et utiliser le détail de la requête de rôle ou de ressource |
Initiateur ou receveur. |
Afficher le rôle ou Afficher la ressource
L'autorisation Afficher le rôle détermine si vous pouvez consulter les détails des requêtes de rôles dans la section État des requêtes du tableau de bord de travail. L'autorisation Afficher la ressource détermine si vous pouvez consulter les détails des requêtes de ressources. |
|
Retirer des requêtes de rôles ou de ressources |
Initiateur ou receveur.
La requête doit être dans un état retirable. |
Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :
-
Assigner le rôle à l'utilisateur
-
Assigner un rôle au groupe et au conteneur
-
Mettre à jour le rôle
-
Révoquer le rôle de l'utilisateur
-
Révoquer le rôle du groupe et du conteneur
L'autorisation d'ayant droit suivante pour une ressource :
|
|
Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources |
Initiateur ou receveur. |
Afficher le rôle ou Afficher la ressource |
9.6.4 Gestionnaire d'équipe en mode de gestion
En mode de gestion, le gestionnaire d'équipe peut afficher des tâches sans aucune autorisation de sécurité. En revanche, pour l'affichage des détails des tâches et des commentaires de workflow, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.
Tableau 9-14 Notifications de tâches pour les gestionnaires d'équipe en mode de gestion
|
Afficher la tâche dans une liste |
Un membre de l'équipe ainsi que le destinataire de la tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Aucune. |
|
Afficher le détail de la tâche |
Un membre de l'équipe ainsi que le destinataire de la tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Gestion de la tâche du destinataire |
|
Afficher les commentaires de workflow |
Un membre de l'équipe ainsi que le destinataire de la tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe. |
Gérer la tâche du destinataire
|
En mode de gestion, le gestionnaire d'équipe peut afficher les assignations de rôles et de ressources sans aucune autorisation de sécurité. En revanche, pour assigner des rôles ou des ressources ou supprimer des assignations existantes, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.
Tableau 9-15 Assignations de rôles et de ressources pour les gestionnaires d'équipe en mode de gestion
|
Afficher le rôle ou la ressource dans une liste |
Un membre de l'équipe sélectionnée.
L'utilisateur doit aussi être le receveur.
La liste d'assignations de rôles inclut des assignations pour les groupes et les conteneurs auxquels l'utilisateur appartient.
La liste d'assignations de ressources inclut des assignations pour l'utilisateur géré uniquement. |
Aucune. |
|
Assigner ou supprimer une assignation pour un rôle ou une ressource |
Un membre de l'équipe sélectionnée.
L'utilisateur doit aussi être le receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient. |
Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :
-
Assigner le rôle à l'utilisateur
-
Révoquer le rôle de l'utilisateur
-
Assigner un rôle au groupe et au conteneur
-
Révoquer le rôle du groupe et du conteneur
Une ou plusieurs des autorisations d'ayant droit suivantes pour une ressource :
-
Assigner la ressource
-
Révoquer la ressource
|
En mode de gestion, le gestionnaire d'équipe peut afficher les requêtes de processus, de rôles et de ressources sans aucune autorisation de sécurité. En revanche, pour afficher les détails de requête et les commentaires de workflow, ainsi que pour retirer des requêtes, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.
Tableau 9-16 État des requêtes pour les gestionnaires d'équipe en mode de gestion
|
Afficher les requêtes de processus dans une liste |
Initiateur ou receveur. |
Aucune. |
|
Afficher et utiliser le détail de la requête de processus |
Initiateur ou receveur. |
Afficher les définitions de requête de provisioning en cours d'exécution |
|
Retirer les requêtes de processus |
Initiateur ou receveur. |
Retirer la PRD |
|
Afficher les commentaires de workflow pour les requêtes de processus |
Initiateur ou receveur. |
Afficher les définitions de requête de provisioning en cours d'exécution |
|
Afficher les requêtes de rôles ou de ressources dans une liste |
Initiateur ou receveur. |
Aucune. |
|
Afficher et utiliser le détail de la requête de rôle ou de ressource |
Initiateur ou receveur. |
Afficher le rôle ou Afficher la ressource
L'autorisation Afficher le rôle détermine si vous pouvez consulter les détails des requêtes de rôles dans la section État des requêtes du tableau de bord de travail. L'autorisation Afficher la ressource détermine si vous pouvez consulter les détails des requêtes de ressources. |
|
Retirer des requêtes de rôles ou de ressources |
Initiateur ou receveur.
La requête doit être dans un état retirable. |
Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :
-
Assigner le rôle à l'utilisateur
-
Assigner un rôle à l'utilisateur et au groupe
-
Mettre à jour le rôle
-
Révoquer le rôle de l'utilisateur
-
Révoquer le rôle du groupe et du conteneur
L'autorisation d'ayant droit suivante pour une ressource :
|
|
Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources |
Initiateur ou receveur. |
Afficher le rôle ou Afficher la ressource |