1.2 Configuration de l'authentification et de l'autorisation utilisateur

1.2.1 À propos de l'autorisation et de l'authentification des utilisateurs de PlateSpin Protect

Le mécanisme d'authentification et d'autorisation des utilisateurs de PlateSpin Protect est basé sur les rôles des utilisateurs et contrôle l'accès aux applications ainsi que les opérations pouvant être exécutées par ces derniers. Ce mécanisme est basé sur l'authentification Windows intégrée (IWA) et son interaction avec les services IIS (Internet Information Services).

Le système d'accès basé sur les rôles vous permet d'implémenter l'authentification et l'autorisation utilisateur de différentes manières :

  • limiter l'accès aux applications à certains utilisateurs ;

  • autoriser uniquement certains utilisateurs à exécuter des opérations spécifiques ;

  • octroyer à chaque utilisateur un accès à des workloads spécifiques pour exécuter des opérations définies par le rôle qui lui a été assigné.

Chaque instance PlateSpin Protect comporte l'ensemble suivant de groupes d'utilisateurs de niveau système d'exploitation qui définissent les rôles fonctionnels associés :

  • Les administrateurs chargés de la protection des workloads : ces utilisateurs bénéficient d'un accès illimité à toutes les fonctions de l'application. Un administrateur local appartient implicitement à ce groupe.

  • Les utilisateurs avec pouvoir chargés de la protection des workloads : ces utilisateurs bénéficient d'un accès à un sous-ensemble limité de fonctions système, suffisant pour assurer un fonctionnement au quotidien.

  • Les opérateurs chargés de la protection des workloads : ces utilisateurs bénéficient d'un accès à la plupart des fonctions de l'application avec quelques restrictions, notamment en ce qui concerne la modification des paramètres système liés à l'octroi des licences et à la sécurité.

Lorsqu'un utilisateur tente de se connecter à PlateSpin Protect, les références spécifiées via le navigateur sont validées par les services IIS. Si l'utilisateur n'est pas membre de l'un des rôles de protection de workload, la connexion est refusée. Si l'utilisateur est un administrateur local sur l'hôte du serveur PlateSpin Protect, ce compte est implicitement considéré comme celui d'un administrateur chargé de la protection de workload.

Tableau 1-1 Détails des rôles de protection de workload et des autorisations

Détails des rôles de protection de workload

Administrateurs

Utilisateurs avec pouvoir

Opérateurs

Ajouter un workload

Autorisé

Autorisé

Refusé

Supprimer le workload

Autorisé

Autorisé

Refusé

Configurer la protection

Autorisé

Autorisé

Refusé

Préparer la réplication

Autorisé

Autorisé

Refusé

Exécuter la réplication (complète)

Autorisé

Autorisé

Autorisé

Exécuter le transfert incrémentiel

Autorisé

Autorisé

Autorisé

Suspendre/reprendre la planification

Autorisé

Autorisé

Autorisé

Test de basculement

Autorisé

Autorisé

Autorisé

Basculement

Autorisé

Autorisé

Autorisé

Annuler le basculement

Autorisé

Autorisé

Autorisé

Abandonner

Autorisé

Autorisé

Autorisé

Fermer (la tâche)

Autorisé

Autorisé

Autorisé

Paramètres (tous)

Autorisé

Refusé

Refusé

Exécuter des rapports/diagnostics

Autorisé

Autorisé

Autorisé

Rétablissement

Autorisé

Refusé

Refusé

Reprotéger

Autorisé

Autorisé

Refusé

Par ailleurs, le logiciel PlateSpin Protect intègre un mécanisme basé sur des groupes de sécurité qui déterminent les utilisateurs de niveau OS devant avoir accès à des workloads spécifiques dans l'inventaire de workloads de PlateSpin Protect.

La configuration d'un accès basé sur les rôles à PlateSpin Protect englobe deux tâches :

  1. L'ajout d'utilisateurs de niveau OS aux groupes d'utilisateurs appropriés repris dans le Tableau 1-1.

  2. La création de groupes de sécurité de niveau application qui associent ces utilisateurs à des workloads spécifiques.

1.2.2 Gestion de l'accès et des autorisations de PlateSpin Protect

Ajout d'utilisateurs PlateSpin Protect

Utilisez la procédure décrite dans cette section pour ajouter un nouvel utilisateur PlateSpin Protect.

Si vous souhaitez octroyer des autorisations de rôle spécifiques à un utilisateur existant sur l'hôte du serveur PlateSpin Protect, reportez-vous à la section Assignation d'un rôle de protection de workload à un utilisateur PlateSpin Protect.

  1. Sur l'hôte du serveur PlateSpin Protect, accédez à la console Utilisateurs et groupes locaux (Démarrer > Exécuter > lusrmgr.msc > Entrée).

  2. Cliquez avec le bouton droit sur le noeud Utilisateurs, sélectionnez Nouvel utilisateur, spécifiez les informations requises et cliquez sur Créer.

Vous pouvez maintenant assigner un rôle de protection de workload à l'utilisateur que vous venez de créer. Reportez-vous à la section Assignation d'un rôle de protection de workload à un utilisateur PlateSpin Protect.

Assignation d'un rôle de protection de workload à un utilisateur PlateSpin Protect

Avant d'assigner un rôle à un utilisateur, déterminez l'ensemble d'autorisations qui lui convient le mieux. Reportez-vous au Tableau 1-1, Détails des rôles de protection de workload et des autorisations.

  1. Sur l'hôte du serveur PlateSpin Protect, accédez à la console Utilisateurs et groupes locaux (Démarrer > Exécuter > lusrmgr.msc > Entrée).

  2. Cliquez sur le noeud Utilisateurs, puis double-cliquez sur l'utilisateur souhaité dans le volet de droite.

  3. Dans l'onglet Membre de, cliquez sur Ajouter, recherchez le groupe de protection de workload souhaité et assignez-le à l'utilisateur.

    Plusieurs minutes peuvent être nécessaires pour que le changement soit pris en compte. Pour tenter d'appliquer les modifications manuellement, redémarrez votre serveur. Reportez-vous à la section Redémarrage du serveur PlateSpin Protect afin d'appliquer les modifications système.

Vous pouvez maintenant ajouter cet utilisateur à un groupe de sécurité PlateSpin Protect et lui associer un groupe spécifique de workloads. Reportez-vous à la section Gestion des groupes de sécurité et des autorisations de workload de PlateSpin Protect.

1.2.3 Gestion des groupes de sécurité et des autorisations de workload de PlateSpin Protect

PlateSpin Protect intègre un mécanisme d'accès de niveau application granulaire qui permet à certains utilisateurs d'exécuter des tâches de protection de workload spécifiques sur des workloads donnés. Pour ce faire, vous devez configurer des groupes de sécurité.

  1. Assignez à un utilisateur PlateSpin Protect un rôle de protection de workload dont les autorisations sont les plus adaptées à ce rôle dans votre organisation. Reportez-vous à la section Assignation d'un rôle de protection de workload à un utilisateur PlateSpin Protect.

  2. Accédez à PlateSpin Protect en tant qu'administrateur à l'aide du client Web PlateSpin Protect, puis cliquez sur Paramètres > Autorisations.

    La page Groupes de sécurité s'ouvre :

  3. Cliquez sur Créer un groupe de sécurité.

  4. Dans le champ Nom du groupe de sécurité, saisissez un nom pour votre groupe de sécurité.

  5. Cliquez sur Ajouter des utilisateurs et sélectionnez les utilisateurs que vous souhaitez ajouter à ce groupe de sécurité.

    Si vous voulez ajouter un utilisateur PlateSpin Protect récemment ajouté en tant qu'utilisateur de niveau OS à l'hôte PlateSpin Protect Server, il ne sera peut-être pas disponible immédiatement dans l'interface utilisateur. Dans ce cas, cliquez d'abord sur Rafraîchir les comptes utilisateur.

  6. Cliquez sur Ajouter des workloads et sélectionnez les workloads souhaités :

    Seuls les utilisateurs faisant partie de ce groupe de sécurité auront accès aux workloads sélectionnés.

  7. Cliquez sur Créer.

    La page se recharge et affiche votre nouveau groupe dans la liste des groupes de sécurité.

Pour éditer un groupe de sécurité, cliquez sur son nom dans la liste des groupes de sécurité.