16.1 Consultation du catalogue de rôles

L'opération Catalogue de rôles de l'onglet Rôles et ressources dans l'interface utilisateur de Identity Manager vous permet d'afficher les rôles précédemment définis dans le catalogue. Elle vous permet également d'en créer des nouveaux ainsi que de modifier, de supprimer et d'assigner des rôles existants.

16.1.1 Affichage des rôles

  1. Cliquez sur Catalogue de rôles dans la liste des opérations Rôles et ressources.

    L'application utilisateur affiche une liste des rôles actuellement définis dans le catalogue.

Filtrage de la liste de rôles

  1. Cliquez sur le bouton Afficher le filtre dans le coin supérieur droit de l'affichage Catalogue de rôles.

  2. Spécifiez une chaîne de filtre pour le nom ou la description de rôle, ou sélectionnez un ou plusieurs niveaux ou catégories dans la boîte de dialogue Filtre.

  3. Cliquez sur Filtre pour appliquer vos critères de sélection.

  4. Pour supprimer le filtre actuel, cliquez sur Réinitialiser.

Définition du nombre maximal de rôles sur une page

  1. Cliquez sur la liste déroulante Lignes et sélectionnez le nombre de lignes à afficher sur chaque page :

Défilement de la liste de rôles

  1. Pour passer à une autre page de la liste de rôles, cliquez sur le bouton Suivant, Précédent, Premier ou Dernier au bas de la liste :

Tri de la liste de rôles

Pour trier la liste de rôles :

  1. Cliquez sur l'en-tête de la colonne sur laquelle effectuer le tri.

    L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale.

    Si le tri est descendant, l'indicateur apparaît à l'envers.

    La colonne de tri initiale est déterminée par l'administrateur.

Si vous remplacez la colonne de tri initiale, votre colonne de tri est ajoutée à la liste des colonnes obligatoires. Les colonnes obligatoires sont signalées par un astérisque (*).

Lorsque vous modifiez l'ordre de tri pour la liste des tâches, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.

16.1.2 Création de rôles

  1. Cliquez sur le bouton Nouveau en haut de l'affichage Catalogue de rôles :

    L'application utilisateur affiche la boîte de dialogue Nouveau rôle :

  2. Spécifiez les informations pour la définition du rôle, comme décrit ci-dessous :

    Tableau 16-1 Détails du rôle

    Champ

    Description

    Nom d'affichage

    Le texte utilisé lorsque le nom de rôle s'affiche dans l'application utilisateur. Lorsque vous créez un rôle, vous ne pouvez pas inclure dans le Nom d'affichage les caractères suivants :

    < > , ; \ " +  # = / | & *
    

    Vous pouvez traduire ce nom dans n'importe laquelle des langues prises en charge par l'application utilisateur. Pour plus d'informations, reportez-vous au Tableau 1-1, Principaux boutons.

    Description

    Le texte utilisé lorsque la description de rôle s'affiche dans l'application utilisateur. Comme pour le nom d'affichage, vous pouvez traduire la description de rôle dans n'importe laquelle des langues prises en charge dans l'application utilisateur. Pour plus d'informations, reportez-vous au Tableau 1-1, Principaux boutons.

    Niveau de rôle

    (En lecture seule lors de la modification d'un rôle) Choisissez un niveau de rôle dans la liste déroulante.

    Vous pouvez définir les niveaux de rôle à l'aide du concepteur de l'éditeur de configuration de rôle Identity Manager.

    Sous-conteneur du rôle

    (En lecture seule lors de la modification d'un rôle) L'emplacement des objets de rôle dans le pilote. Les conteneurs de rôle dépendent des niveaux de rôle. L'application utilisateur affiche uniquement les conteneurs de rôle dépendant du niveau de rôle que vous choisissez. Vous pouvez créer un rôle directement dans un niveau de rôle ou dans un conteneur au sein du niveau de rôle. Spécifier le conteneur de rôle est optionnel.

    Catégories

    Cette propriété permet de catégoriser les rôles en vue de leur organisation. Les catégories permettent de filtrer les listes de rôles. Les catégories offrent des options de sélection multiple.

    Propriétaires

    Utilisateurs désignés comme les propriétaires de la définition de rôle. Si vous générez des rapports par rapport au catalogue de rôles, vous pouvez filtrer ces rapports en fonction du propriétaire de rôle. Le propriétaire de rôle n'a pas nécessairement l'autorisation d'apporter des modifications à la définition d'un rôle.

  3. Cliquez sur Enregistrer pour sauvegarder la définition de rôle.

    L'application utilisateur affiche plusieurs onglets supplémentaires au bas de la fenêtre, lesquels permettent de compléter la définition de rôle.

Définitions des relations entre rôles

L'onglet Relations entre les rôles permet de définir de quelle façon les rôles sont associés dans une hiérarchie d'endiguement de rôles de niveau supérieur et inférieur. Grâce à cette hiérarchie, vous pouvez grouper les autorisations et les ressources des rôles de niveau inférieur dans un rôle de niveau supérieur qui facilite l'assignation des autorisations. Les relations autorisées comprennent les éléments suivants :

  • Les rôles de niveau supérieur (rôles métier) peuvent contenir des rôles de niveau inférieur. Ils ne peuvent pas être contenus dans d'autres rôles. Si vous sélectionnez un rôle de niveau supérieur, la page Relations entre les rôles permet d'ajouter une relation entre rôles de niveau inférieur (enfant) uniquement.

  • Les rôles intermédiaires (rôles IT) peuvent contenir des rôles de niveau inférieur et être contenus dans des rôles de niveau supérieur. La page Relations entre les rôles permet d'ajouter un rôle tant de niveau inférieur (enfant) que de niveau supérieur (parent).

  • Les rôles de niveau inférieur (rôles d'autorisation) peuvent être contenus dans des rôles de niveau supérieur mais ne peuvent pas contenir d'autres rôles de niveau inférieur. La page Relations entre les rôles permet d'ajouter un rôle de niveau supérieur uniquement.

Pour définir une relation entre rôles :

  1. Cliquez sur l'onglet Relations entre les rôles.

  2. Cliquez sur Ajouter.

    La boîte de dialogue Ajouter une relation entre rôles s'affiche.

  3. Indiquez une description de la relation dans le champ Description de la requête initiale.

  4. Spécifiez le type de relation à définir en le sélectionnant dans la liste déroulante Relation entre rôles.

    Si le nouveau rôle est un rôle IT, la liste déroulante Relation entre rôles permet de définir une relation Enfant ou Parent. Si le nouveau rôle est un rôle métier, la liste déroulante Relation entre rôles affiche un texte en lecture seule indiquant qu'il s'agit d'une relation Enfant, étant donné que seuls des rôles de niveau inférieur peuvent être reliés à un rôle métier. Si le nouveau rôle est un rôle d'autorisation, la liste déroulante Relation entre rôles affiche un texte en lecture seule indiquant qu'il s'agit d'une relation Parent, étant donné que seuls des rôles de niveau supérieur peuvent être reliés à un rôle d'autorisation.

    La liste de rôles disponibles pour sélection est filtrée en fonction du type que vous avez choisi.

  5. Utilisez le sélecteur d'objet à droite du champ Rôles sélectionnés pour déterminer le ou les rôles à associer au nouveau rôle.

  6. Cliquez sur Ajouter.

Association de ressources à des rôles

Pour associer une ressource à un rôle :

  1. Cliquez sur l'onglet Ressources.

  2. Cliquez sur Ajouter.

    L'application utilisateur affiche la boîte de dialogue Ajouter une association de ressource.

  3. Utilisez le sélecteur d'objet pour choisir la ressource souhaitée et saisissez un texte expliquant la raison de cette association.

    L'assistant affiche une page qui fournit des informations à propos de la ressource sélectionnée, telles que le nom des catégories de la ressource, le propriétaire, le droit et les valeurs de droit.

    Pour les droits qui prennent des valeurs de paramètre statiques, qui fournissent des attributs supplémentaires ou des informations détaillées pour le droit, l'assistant affiche les valeurs statiques en regard du libellé Valeur du droit. Pour les droits qui prennent des valeurs dynamiques, l'assistant affiche le formulaire de requête de ressource, qui inclut des champs pour les paramètres dynamiques, ainsi que tous les champs de support de décision définis pour le formulaire.

  4. Dans le champ Description de l'association, expliquez pourquoi la ressource est associée au rôle.

  5. Cliquez sur Ajouter pour associer la ressource au rôle.

    La liste Associations de ressources affiche la ressource que vous avez ajoutée à la définition de rôle :

    Impact sur les assignations de rôles existantes. Lorsque vous ajoutez une nouvelle association de ressource à un rôle auquel des identités sont déjà assignées, le système initie une nouvelle requête pour accorder la ressource à chacune de ces identités.

Pour supprimer une association de ressource d'un rôle :

  1. Sélectionnez l'association de ressource dans la liste Associations de ressources.

  2. Cliquez sur Supprimer.

    Impact sur les assignations de rôles existantes. Lorsque vous supprimez une association de ressource d'un rôle auquel des identités sont déjà assignées, le système initie une nouvelle requête pour révoquer la ressource de chacune de ces identités.

Définition du processus d'approbation pour un rôle

Pour définir le processus d'approbation d'un rôle :

  1. Cliquez sur l'onglet Approbation.

  2. Spécifiez les informations pour le processus d'approbation, comme décrit ci-dessous :

    Tableau 16-2 Détails d'approbation

    Champ

    Description

    Requis

    Cochez cette case si le rôle requiert une approbation et si vous souhaitez que le processus d'approbation exécute la définition standard de l'approbation d'assignation de rôle.

    Désélectionnez cette case si le rôle ne nécessite aucune approbation.

    Approbation personnalisée

    Sélectionnez ce bouton d'option si vous souhaitez utiliser une définition d'approbation personnalisée (définition de requête de provisioning). Utilisez le sélecteur d'objet pour choisir la définition d'approbation.

    Approbation standard

    Sélectionnez ce bouton d'option si ce rôle utilise la définition standard de l'approbation d'assignation de rôle spécifiée dans la configuration du sous-système de rôles et de ressources. Le nom de la définition d'approbation s'affiche en lecture seule dans la Définition de l'approbation d'assignation de rôle ci-dessous.

    Vous devez sélectionner le type d'approbation (Série ou Quorum), ainsi que les approbateurs valides.

    Type d'approbation

    Sélectionnez Série si vous souhaitez que tous les utilisateurs de la liste Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste.

    Sélectionnez Quorum si vous souhaitez qu'un pourcentage des utilisateurs de la liste Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.

    Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez Quorum et 25 %. Vous pouvez également 100 % si tous les utilisateurs doivent approuver en parallèle. La valeur doit être un nombre entier compris entre 0 et 100.

    INDICATION :si vous passez votre souris sur les champs Série et Quorum, une fenêtre contextuelle apparaît. Elle explique comment ces champs fonctionnent.

    Approbateurs

    Sélectionnez Utilisateur si la tâche d'approbation de rôle doit être assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Sélectionnez Conteneur si la tâche d'approbation de rôle doit être assignée à un conteneur. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle.

    Pour localiser un utilisateur, un groupe ou un conteneur ou un rôle spécifique, utilisez le sélecteur d'objet. Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à la Section 1.4.4, Principales opérations utilisateur.

Création d'assignations de rôle

Pour des détails sur les assignations de rôles, reportez-vous à la Section 16.1.5, Assignation de rôles.

Vérification de l'état des requêtes

L'opération État des requêtes permet d'afficher l'état de vos requêtes d'assignation de rôle, notamment celles effectuées directement, ainsi que les requêtes d'assignation de rôle pour les groupes ou les conteneurs auxquels vous appartenez. Elle permet d'afficher l'état actuel de chaque requête. Vous pouvez en outre retirer une requête qui n'est pas finalisée si vous avez changé d'avis et si vous ne souhaitez plus qu'elle se poursuive.

L'opération État des requêtes affiche toutes les requêtes d'assignation de rôle, y compris celles en cours d'exécution, en attente d'approbation, approuvées, terminées, refusées ou interrompues.

Pour afficher l'état des requêtes d'assignation de rôle :

  1. Cliquez sur l'onglet État des requêtes.

  2. Pour afficher les informations détaillées concernant l'état d'une requête, cliquez sur celui-ci :

    La fenêtre Détails de l'assignation s'affiche :

    Pour des détails sur la signification des valeurs d'état, reportez-vous à la Section 10.4, Affichage de l'état de vos requêtes.

  3. Pour retirer une requête, sélectionnez-la, puis cliquez sur Retirer.

    Vous devez disposer des autorisations nécessaires pour retirer une requête.

    Si la requête a été terminée ou interrompue, un message d'erreur s'affiche lorsque vous tentez de la retirer.

16.1.3 Édition d'un rôle existant

  1. Sélectionnez un rôle défini précédemment et cliquez sur Éditer.

  2. Apportez les modifications aux paramètres du rôle, puis cliquez sur Enregistrer.

Droits associés à des rôles existants. Les rôles définis dans de précédentes versions du module de provisioning basé sur les rôles peuvent être associés à des droits. Si un rôle est associé à un droit, l'interface utilisateur affiche l'onglet Droits, qui permet de consulter les assignations de droits et éventuellement de les supprimer. Ces assignations de droits pour les rôles continuent de fonctionner, mais Novell recommande désormais d'associer les droits à des ressources, plutôt qu'à des rôles.

16.1.4 Suppression de rôles

  1. Sélectionnez un rôle défini précédemment et cliquez sur Supprimer.

    Impact sur les assignations de rôles existantes. Si vous supprimez un rôle qui est associé à une ressource et auquel une ou plusieurs identités sont assignées, le système retire l'assignation de ressource de chaque identité à laquelle la ressource était associée.

    REMARQUE :si vous supprimez un rôle auquel une ressource est assignée (ou si vous supprimez un utilisateur de ce rôle), le système retire les assignations de ressources des utilisateurs dans ce rôle, même si ces ressources ont initialement été assignées directement. Cela est dû au fait que le système suppose que la dernière source experte d'une assignation de ressource est le contrôleur de cette ressource, comme illustré dans le scénario suivant :

    1. Une ressource est créée et assignée à un droit.

    2. Un utilisateur est assigné à la ressource récemment créée.

    3. Un rôle associé à cette ressource est créé.

    4. L'utilisateur susmentionné est ensuite assigné au rôle créé précédemment.

    5. L'utilisateur est supprimé du rôle.

    Dans ce cas, l'utilisateur est également supprimé de la ressource bien que celle-ci lui ait été assignée directement. Initialement, l'assignation de ressource est considérée comme la source experte. Toutefois, lorsque l'utilisateur est assigné à un rôle associé à la même ressource, ce dernier devient la source experte.

    Suppression de rôles dans des contraintes SoD. Lorsqu'un rôle en conflit d'une contrainte SoD est supprimé, le mot Non valide est ajouté entre crochets à la suite du nom de cette contrainte, par exemple Médecin Pharmacien SoD [Non valide] dans la liste du catalogue de SoD.

AVERTISSEMENT :un gestionnaire de rôles qui a reçu l'autorisation Supprimer le rôle pour les rôles système (ou pour le conteneur qui englobe ces rôles) peut supprimer les rôles système. Toutefois, ces rôles ne doivent pas être supprimés. La suppression d'un des rôles système entraîne un dysfonctionnement de l'application utilisateur.

16.1.5 Assignation de rôles

Vous pouvez assigner un rôle de l'une des deux manières suivantes :

  • À partir du Catalogue de rôles

  • À partir de la boîte de dialogue Éditer le rôle

Ces deux méthodes sont décrites ci-après.

Assignation d'un rôle à partir du catalogue

  1. Sélectionnez un rôle défini précédemment dans le Catalogue de rôles et cliquez sur Assigner.

    L'application utilisateur affiche la boîte de dialogue Assigner le rôle :

  2. Renseignez les champs de la boîte de dialogue Assigner le rôle :

    1. Saisissez un texte décrivant la raison de la requête dans le champ Description de la requête initiale.

    2. Dans le champ Type d'assignation, sélectionnez Utilisateur, Groupe ou Conteneur pour indiquer le type d'identités auquel le rôle sera assigné.

    3. Dans le sélecteur d'objet, entrez une chaîne de recherche, puis cliquez sur Rechercher. Sélectionnez les utilisateurs, groupes ou conteneurs à assigner.

      Assignation d'un rôle à plusieurs identités. Vous pouvez sélectionner un ou plusieurs utilisateurs, groupes ou conteneurs auxquels assigner le rôle. Si vous sélectionnez plusieurs identités, toutes celles sélectionnées reçoivent les mêmes valeurs d'assignation de rôle.

    4. Spécifiez la date de début de l'assignation de rôle dans le champ Date d'entrée en vigueur.

      Vous pouvez entrer une date au format jj/mm/aaaa hh:mm:ss a (où « a » spécifie AM ou PM). Vous pouvez aussi cliquer sur l'icône Calendrier pour sélectionner la date dans la fenêtre contextuelle correspondante :

    5. Spécifiez la date d'expiration de l'assignation de rôle dans le champ Date d'expiration.

      Pour spécifier une expiration, cliquez sur Spécifier l'expiration. Vous pouvez entrer une date au format jj/mm/aaaa hh:mm:ss a (où a spécifie AM ou PM). Vous pouvez aussi cliquer sur l'icône Calendrier pour sélectionner la date dans la fenêtre contextuelle correspondante.

      Par défaut, la date d'expiration est définie sur Pas d'expiration, ce qui indique que cette assignation de rôle reste de vigueur indéfiniment.

  3. Cliquez sur Soumettre.

Assignation d'un rôle à partir de la boîte de dialogue Éditer le rôle

  1. Dans le Catalogue de rôles, sélectionnez un rôle et cliquez sur Éditer pour ouvrir la boîte de dialogue Éditer le rôle.

  2. Cliquez sur l'onglet Assignations.

    L'onglet Assignations affiche une liste des assignations accordées pour le rôle sélectionné.

  3. Pour ajouter une nouvelle assignation, cliquez sur Assigner.

    L'application utilisateur affiche la boîte de dialogue Assigner le rôle :

    Pour des détails sur l'utilisation du formulaire de requête d'assignation de rôle, reportez-vous à la section Assignation d'un rôle à partir du catalogue.

16.1.6 Rafraîchissement de la liste de rôles

  1. Cliquez sur Rafraîchir.

16.1.7 Personnalisation de l'affichage de la liste de rôles

Le Catalogue de rôles permet de sélectionner ou désélectionner des colonnes, ainsi que de les réorganiser dans l'affichage de la liste de tâches. Ce comportement est déterminé par un paramètre de la boîte de dialogue Personnaliser l'affichage du catalogue de rôles. Lorsque vous modifiez la liste de colonnes ou leur ordre, vos personnalisations sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.

Pour personnaliser l'affichage des colonnes :

  1. Cliquez sur Personnaliser dans le Catalogue de rôles :

    L'application utilisateur affiche la liste des colonnes actuellement sélectionnées pour affichage ainsi qu'une liste de colonnes supplémentaires disponibles pour sélection.

  2. Pour inclure une colonne supplémentaire dans l'affichage, sélectionnez-la dans la zone de liste Colonnes disponibles et faites-la glisser dans la zone de liste Colonnes sélectionnées.

    Pour sélectionner plusieurs colonnes dans la liste, maintenez la touche Ctrl enfoncée et sélectionnez les colonnes. Pour sélectionner une série de colonnes qui se suivent dans la liste, maintenez la touche Maj enfoncée et sélectionnez les colonnes.

    Vous pouvez modifier l'ordre des colonnes dans l'écran en les remontant ou les descendant dans la zone de liste Colonnes sélectionnées.

  3. Pour supprimer une colonne de l'affichage, sélectionnez-la dans la zone de liste Colonnes sélectionnées et faites-la glisser dans la zone de liste Colonnes disponibles.

    La colonne Nom du rôle est obligatoire et ne peut pas être supprimée de l'affichage de la liste de rôles.

  4. Pour sauvegarder vos modifications, cliquez sur Enregistrer.