16.1 Esplorazione del catalogo dei ruoli

L'azione Catalogo ruoli nella scheda Ruoli e risorse dell'interfaccia utente di Identity Manager consente di visualizzare ruoli definiti in precedenza nel catalogo. Consente inoltre di creare nuovi ruoli e modificare, eliminare ed assegnare ruoli esistenti.

16.1.1 Visualizzazione dei ruoli

  1. Fare clic su Catalogo ruoli nell'elenco di azioni Ruoli e risorse.

    Viene visualizzato un elenco di ruoli attualmente definiti nel catalogo.

Applicazione di filtri all'elenco dei ruoli

  1. Fare clic sul pulsante Visualizza filtro nell'angolo superiore destro della visualizzazione Catalogo ruoli.

  2. Specificare una stringa di filtro per il nome o la descrizione del ruolo oppure selezionare uno o più livelli o categorie di ruolo nella finestra di dialogo Filtro.

  3. Fare clic su Filtro per applicare i criteri di selezione.

  4. Per rimuovere il filtro corrente, fare clic su Reimposta.

Impostazione del numero massimo di ruoli per pagina

  1. Fare clic sull'elenco a discesa Righe e selezionare il numero di righe che si desidera vengano visualizzate su ciascuna pagina:

Scorrimento dell'elenco dei ruoli

  1. Per passare a un'altra pagina nell'elenco di ruoli, fare clic sul pulsante Successivo, Precedente, Primo o Ultimo nella parte inferiore dell'elenco:

Ordinamento dell'elenco dei ruoli

Per ordinare l'elenco dei ruoli:

  1. Fare clic sull'intestazione della colonna in base alla quale si desidera ordinare l'elenco.

    L'indicatore di ordinamento a forma di piramide mostra la nuova colonna di ordinamento. Quando l'ordinamento è ascendente, l'indicatore viene visualizzato con la punta verso l'alto.

    Quando l'ordinamento è discendente, l'indicatore viene visualizzato con la punta verso il basso.

    La colonna di ordinamento iniziale è determinata dall'amministratore.

Se si sostituisce la colonna di ordinamento iniziale, la nuova colonna di ordinamento viene aggiunta all'elenco delle colonne necessarie. Le colonne necessarie sono indicate con un asterisco (*).

Quando si modifica l'ordinamento per l'elenco di task, la preferenza viene salvata in Identity Vault insieme con le altre preferenze dell'utente.

16.1.2 Creazione di nuovi ruoli

  1. Fare clic sul pulsante Nuovo nella parte superiore della visualizzazione Catalogo ruoli:

    Viene visualizzata la finestra di dialogo Nuovo ruolo:

  2. Fornire dettagli per la definizione del ruolo, come descritto di seguito:

    Tabella 16-1 Dettagli del ruolo

    Campo

    Descrizione

    Nome visualizzato

    Testo utilizzato quando il nome del ruolo viene visualizzato nell'applicazione utente. Non è possibile includere i seguenti caratteri in Nome visualizzato quando si crea un ruolo:

    < > , ; \ " +  # = / | & *
    

    È possibile tradurre questo nome in una delle lingue supportate dall'applicazione utente. Per ulteriori informazioni, vedere Tabella 1-1, Pulsanti comuni.

    Descrizione

    Testo utilizzato quando la descrizione del ruolo viene visualizzata nell'applicazione utente. Come per il nome visualizzato, è possibile tradurlo in una delle lingue supportate dall'applicazione utente. Per ulteriori informazioni, vedere Tabella 1-1, Pulsanti comuni.

    Livello ruolo

    (Sola lettura quando si modifica un ruolo). Scegliere un livello di ruolo dall'elenco a discesa.

    I livelli dei ruoli vengono definiti utilizzando l'editor di configurazione dei ruoli di Designer per Identity Manager.

    Sottocontainer ruolo

    (Sola lettura quando si modifica un ruolo). Ubicazione degli oggetti ruolo nel driver. I container ruolo risiedono sotto i livelli ruolo. L'applicazione utente mostra solo i container ruolo che risiedono sotto il livello ruolo selezionato. È possibile creare un ruolo direttamente in un livello ruolo o in un container nel livello ruolo. La specifica del container del ruolo è opzionale.

    Categorie

    Consente di classificare i ruoli per la relativa organizzazione. Le categorie vengono utilizzate per filtrare l'elenco dei ruoli. Le categorie sono a selezione multipla.

    Proprietari

    Gli utenti designati come proprietari della definizione del ruolo. Quando si generano rapporti per il Catalogo dei ruoli, è possibile applicare un filtro in base al proprietario del ruolo. Il proprietario di un ruolo non dispone automaticamente dell'autorizzazione per l'amministrazione delle modifiche alla definizione del ruolo specificato.

  3. Fare clic su Salva per salvare la definizione del ruolo.

    Vengono visualizzate diverse schede aggiuntive nella parte inferiore della finestra per consentire di completare la definizione del ruolo.

Definizione delle relazioni fra i ruoli

Nella scheda Relazioni fra i ruoli è possibile definire in che modo i ruoli sono correlati tra loro in una gerarchia di contenimento dei ruoli di livello più alto e più basso. Questa gerarchia consente di raggruppare le autorizzazioni o le risorse contenute nei ruoli di livello inferiore in un ruolo di livello superiore per semplificare l'assegnazione delle autorizzazioni. Le relazioni consentite sono:

  • I ruoli di primo livello (ruoli aziendali) possono contenere ruoli di livello inferiore. Tuttavia, non possono essere contenuti da altri ruoli. Se si seleziona un livello superiore, nella pagina Relazioni fra i ruoli è possibile aggiungere solo una relazione fra i ruoli di livello inferiore (secondaria).

  • I ruoli di livello medio (ruoli IT) possono contenere ruoli di livello inferiore e possono essere contenuti in ruoli di livello superiore. Nella pagina Relazioni fra i ruoli è possibile aggiungere ruoli di livello inferiore (secondari) o di livello superiore (principali).

  • I ruoli di livello inferiore (ruoli permesso) possono essere contenuti in ruoli di livello superiore, ma non possono contenere altri ruoli di livello inferiore. Nella pagina Relazioni fra i ruoli è possibile aggiungere solo un ruolo di livello superiore.

Per definire una relazione fra i ruoli:

  1. Fare clic sulla scheda Relazioni fra i ruoli.

  2. Fare clic su Aggiungi.

    Viene visualizzata la finestra di dialogo Aggiungi relazione ruolo.

  3. Fornire testo che descriva la relazione nel campo Descrizione richiesta iniziale.

  4. Specificare il tipo di relazione che si desidera definire selezionando il tipo nell'elenco a discesa Relazione ruolo.

    Se il nuovo ruolo è un ruolo IT, nell'elenco a discesa Relazione ruolo è possibile definire una relazione di tipo Secondario o Superiore. Se il nuovo ruolo è un ruolo aziendale, nell'elenco a discesa Relazione ruolo viene visualizzato testo di sola lettura per indicare che si tratta di una relazione di tipo Secondario, poiché solo i ruoli di livello inferiore possono essere correlati a un ruolo aziendale. Se il nuovo ruolo è un ruolo permesso, nell'elenco a discesa Relazione ruolo viene visualizzato testo di sola lettura per indicare che si tratta di una relazione di tipo Superiore, in quanto solo i ruoli di livello superiore possono essere correlati a un ruolo permesso.

    L'elenco dei ruoli disponibili per la selezione viene filtrato in base al tipo selezionato.

  5. Utilizzare il selettore oggetti a destra del campo Ruoli selezionati per selezionare i ruoli che si desidera associare al nuovo ruolo.

  6. Fare clic su Aggiungi.

Associazione di risorse al ruolo

Per associare una risorsa a un ruolo:

  1. Fare clic sulla scheda Risorse.

  2. Fare clic su Aggiungi.

    Nell'applicazione utente viene visualizzata la finestra di dialogo Aggiungi associazione risorsa.

  3. Utilizzare il selettore oggetti per selezionare la risorsa desiderata e fornire testo descrittivo del motivo dell'associazione.

    La procedura guidata visualizza una pagina che fornisce informazioni sulla risorsa selezionata, ad esempio il nome delle categorie della risorsa, il proprietario, l'autorizzazione e i valori dell'autorizzazione.

    Per le autorizzazioni che assumono valori di parametro statici, che forniscono attributi aggiuntivi o informazioni dettagliate, la procedura guidata visualizza i valori statici accanto all'etichetta Valore autorizzazione. Per le autorizzazioni che assumono parametri dinamici, la procedura guidata visualizza il modulo di richiesta di risorse, che include i campi per i parametri dinamici, nonché tutti i campi di supporto decisionale definiti per il modulo.

  4. Nel campo Descrizione associazione, digitare il testo descrittivo del motivo dell'associazione della risorsa al ruolo.

  5. Fare clic su Aggiungi per associare la risorsa al ruolo.

    Nell'elenco Associazioni risorse viene mostrata la risorsa aggiunta alla definizione del ruolo:

    Effetti sulle assegnazioni di ruoli esistenti Quando si aggiunge una nuova associazione di risorse a un ruolo al quale sono già assegnate identità, il sistema avvia una nuova richiesta per concedere la risorsa a ciascuna identità.

Per eliminare un'associazione di risorse per un ruolo:

  1. Selezionare l'associazione di risorse nell'elenco Associazioni risorse.

  2. Fare clic su Rimuovi.

    Effetti sulle assegnazioni di ruoli esistenti Quando si rimuove un'associazione di risorse da un ruolo al quale sono già assegnate identità, il sistema avvia una nuova richiesta per revocare la risorsa da ciascuna identità.

Definizione del processo di approvazione per un ruolo

Per definire il processo di approvazione per un ruolo:

  1. Fare clic sulla scheda Approvazione.

  2. Fornire dettagli per il processo di approvazione, come descritto di seguito:

    Tabella 16-2 Dettagli dell'approvazione

    Campo

    Descrizione

    Obbligatorio

    Selezionare questa casella di controllo se la richiesta del ruolo necessita di approvazione e si desidera che il processo di approvazione esegua la definizione standard dell'approvazione delle assegnazioni dei ruoli.

    Deselezionare la casella di controllo se la richiesta del ruolo non necessita di approvazione.

    Approvazione personalizzata

    Selezionare questo pulsante di scelta se si desidera utilizzare una definizione personalizzata dell'approvazione (definizione della richiesta di provisioning). Utilizzare il selettore oggetti per selezionare la definizione dell'approvazione.

    Approvazione standard

    Selezionare questo pulsante di scelta se il ruolo utilizza la definizione standard dell'approvazione dell'assegnazione dei ruoli specificata nella configurazione del sottosistema di ruoli e risorse. Il nome della definizione approvazione viene visualizzato come di sola lettura nella Definizione approvazione assegnazione ruolo in basso.

    È necessario selezionare il tipo di approvazione (Seriale o Quorum) e gli approvatori validi.

    Tipo di approvazione

    Selezionare Seriale se si desidera che il ruolo venga approvato da tutti gli utenti nell'elenco Approvatori. Gli approvatori vengono elaborati in sequenza in base all'ordine di visualizzazione nell'elenco.

    Selezionare Quorum se si desidera che il ruolo venga approvato da una percentuale degli utenti inclusi nell'elenco Approvatori. L'approvazione è completata quando si raggiunge la percentuale di utenti specificata.

    Se, ad esempio, si desidera che uno dei quattro utenti nell'elenco approvi la condizione, è necessario specificare Quorum e una percentuale pari a 25. In alternativa, è possibile specificare 100% se tutti e quattro gli approvatori devono effettuare l'approvazione contemporaneamente. Il valore deve corrispondere a un numero intero compreso tra 1 e 100.

    SUGGERIMENTO:i campi Seriale e Quorum supportano la visualizzazione di un testo al passaggio del mouse che ne descrive il comportamento.

    Approvatori

    Selezionare Utente se il task di approvazione del ruolo deve essere assegnato a uno o più utenti. Scegliere Gruppo se il task di approvazione del ruolo deve essere assegnato a un gruppo. Selezionare Container se il task di approvazione del ruolo deve essere assegnato a un container. Scegliere Ruolo se il task di approvazione del ruolo deve essere assegnato a un ruolo.

    Per individuare un utente, un gruppo, un container o un ruolo specifico, utilizzare il selettore oggetti. Per modificare l'ordine degli approvatori nell'elenco o rimuovere un approvatore, vedere Sezione 1.4.4, Azioni comuni degli utenti.

Creazione di assegnazioni dei ruoli

Per dettagli sulla creazione di assegnazioni dei ruoli, vedere Sezione 16.1.5, Assegnazione di ruoli.

Controllo dello stato delle richieste

L'azione Stato richiesta consente di visualizzare lo stato delle richieste di assegnazione dei ruoli, incluse le richieste effettuate direttamente e quelle per gruppi o container ai quali si appartiene. Consente di controllare lo stato attuale di ogni richiesta. È inoltre possibile ritirare una richiesta non completata o non terminata qualora non sia più necessario eseguirla.

L'azione Stato richiesta mostra tutte le richieste di assegnazione di ruoli, incluse quelle già in esecuzione, con approvazione in sospeso, approvate, completate, rifiutate o terminate.

Per visualizzare lo stato delle richieste di assegnazione:

  1. Fare clic sulla scheda Stato richiesta.

  2. Per visualizzare informazioni dettagliate sullo stato per una richiesta, fare clic sullo stato:

    Viene visualizzata la finestra Dettagli dell'assegnazione:

    Per dettagli sul significato dei valori dello stato, vedere Sezione 10.4, Visualizzazione dello stato della richiesta.

  3. Per ritirare una richiesta, selezionarla e fare clic su Ritira.

    È necessario disporre dell'autorizzazione per ritirare una richiesta.

    Se la richiesta è stata completata o terminata, viene visualizzato un messaggio di errore se si tenta di ritirarla.

16.1.3 Modifica di un ruolo esistente

  1. Selezionare un ruolo definito in precedenza e fare clic su Modifica.

  2. Apportare le modifiche desiderate alle impostazioni dei ruoli e fare clic su Salva.

Autorizzazioni associate ai ruoli esistenti I ruoli definiti nelle release precedenti del modulo di provisioning basato sui ruoli possono avere autorizzazioni associate. Se a un ruolo è associata un'autorizzazione, nell'interfaccia utente viene visualizzata la scheda Autorizzazioni, in cui è possibile visualizzare la mappatura dell'autorizzazione ed eventualmente rimuoverla. Le mappature delle autorizzazioni per i ruoli continuano a funzionare in questa release, ma Novell consiglia ora di associare le autorizzazioni alle risorse anziché ai ruoli.

16.1.4 Eliminazione dei ruoli

  1. Selezionare un ruolo definito in precedenza e fare clic su Elimina.

    Effetti sulle assegnazioni di ruoli esistenti Se si elimina un ruolo al quale è associata una risorsa e al quale sono assegnate una o più identità, il sistema rimuove l'assegnazione della risorsa da ciascuna identità che ha la risorsa associata.

    NOTA:Se si elimina un ruolo al quale è assegnata una risorsa o si rimuove un utente dal ruolo, il sistema rimuove le assegnazioni di risorse per gli utenti con tale ruolo, anche se queste risorse erano state inizialmente assegnate in modo diretto. Ciò si verifica perché il sistema dà per scontato che l'ultima origine con autorità per un'assegnazione di risorsa sia il controller di tale risorsa, come illustrato nello scenario seguente:

    1. Una risorsa viene creata e mappata a un'autorizzazione.

    2. Un utente viene assegnato alla risorsa creata in precedenza.

    3. Viene creato un ruolo associato alla risorsa creata nel primo passaggio.

    4. Lo stesso utente viene quindi assegnato al ruolo creato in precedenza.

    5. L'utente viene rimosso dal ruolo.

    In questa situazione l'utente viene rimosso dalla risorsa, anche se la risorsa era stata assegnata direttamente. Inizialmente l'assegnazione della risorsa viene considerata l'origine con autorità. Tuttavia, quando l'utente viene assegnato a un ruolo associato alla stessa risorsa, il ruolo diventa l'origine con autorità.

    Eliminazione dei ruoli nei vincoli di separazione dei compiti Quando si elimina un ruolo in conflitto di un vincolo di separazione dei compiti, il vincolo viene visualizzato con la parola Non valido tra parentesi dopo il nome, ad esempio Doctor Pharmacists SoD [Non valido], nell'elenco dei cataloghi di separazione dei compiti.

AVVERTENZA:Un manager dei ruoli che dispone dell'autorizzazione Elimina ruolo per i ruoli di sistema (o il container che li contiene) può eliminare i ruoli di sistema. I ruoli di sistema non devono essere eliminati. L'eliminazione di un ruolo di sistema determina il malfunzionamento dell'applicazione utente.

16.1.5 Assegnazione di ruoli

È possibile assegnare un ruolo in due modi:

  • Dal Catalogo ruoli

  • Dalla finestra di dialogo Modifica ruolo

Entrambi i metodi vengono descritti di seguito.

Assegnazione di un ruolo dal catalogo

  1. Selezionare un ruolo definito in precedenza nel Catalogo ruoli e fare clic su Assegna.

    Nell'applicazione utente viene visualizzata la finestra di dialogo Assegna ruolo:

  2. Compilare i campi nella finestra di dialogo Assegna ruolo:

    1. Specificare del testo che descriva il motivo della richiesta nel campo Descrizione richiesta iniziale.

    2. Nel campo Tipo di assegnazione selezionare Utente, Gruppo o Container per indicare il tipo di identità alle quali verrà assegnato il ruolo.

    3. Nel selettore oggetti immettere una stringa di ricerca e fare clic su Cerca. Selezionare gli utenti, i gruppi o i container che si desidera assegnare.

      Assegnazione di un ruolo a più identità È possibile selezionare uno o più utenti (o gruppi o container) per l'assegnazione del ruolo. Se si selezionano più identità, tutte le identità selezionate ricevono gli stessi valori di assegnazione del ruolo.

    4. Specificare la data di inizio per l'assegnazione del ruolo nel campo Data di inizio validità.

      È possibile digitare una data nel formato mm/gg/aaaa hh:mm:ss a. In alternativa, è possibile fare clic sull'icona del calendario e selezionare la data nella finestra popup Calendario:

    5. Specificare la data di scadenza per l'assegnazione del ruolo nel campo Data di scadenza.

      Per specificare una scadenza, fare clic su Specifica scadenza. È possibile digitare una data nel formato mm/gg/aaaa hh:mm:ss a (in cui a specifica AM o PM). In alternativa, è possibile fare clic sull'icona del calendario e selezionare la data dalla finestra popup Calendario.

      Per default, la data di scadenza è impostata su Nessuna scadenza ad indicare che l'assegnazione del ruolo rimarrà effettiva per un tempo indefinito.

  3. Fare clic su Invia.

Assegnazione di un ruolo dalla finestra di dialogo Modifica ruolo

  1. Nel catalogo dei ruoli selezionare un ruolo e fare clic su Modifica per aprire la finestra di dialogo Modifica ruolo.

  2. Fare clic sulla scheda Assegnazioni.

    Nella scheda Assegnazioni viene visualizzato un elenco di assegnazioni concesse per il ruolo selezionato.

  3. Per aggiungere una nuova assegnazione, fare clic su Assegna.

    Nell'applicazione utente viene visualizzata la finestra di dialogo Assegna ruolo:

    Per dettagli sull'uso del modulo di richiesta di assegnazione del ruolo, vedere Assegnazione di un ruolo dal catalogo.

16.1.6 Aggiornamento dell'elenco dei ruoli

  1. Fare clic su Aggiorna.

16.1.7 Personalizzazione della visualizzazione dell'elenco dei ruoli

Nel catalogo dei ruoli è possibile selezionare e deselezionare colonne, nonché riordinarle all'interno della visualizzazione dell'elenco dei task. Questo comportamento è controllato da un'impostazione disponibile nella finestra di dialogo Personalizza visualizzazione catalogo ruoli. Quando si modifica l'elenco di colonne o si riordinano le colonne, le personalizzazioni vengono salvate in Identity Vault insieme con le altre preferenze dell'utente.

Per personalizzare la visualizzazione delle colonne:

  1. Fare clic su Personalizza nel catalogo dei ruoli:

    Nell'applicazione utente vengono visualizzati l'elenco di colonne attualmente selezionate per la visualizzazione e un elenco di colonne aggiuntive disponibili per la selezione.

  2. Per includere una colonna aggiuntiva nella visualizzazione, selezionare la colonna nella casella di riepilogo Colonne disponibili e trascinarla nella casella di riepilogo Colonne selezionate.

    Per selezionare più colonne nell'elenco, tenere premuto il tasto Ctrl e selezionare le colonne. Per selezionare un intervallo di colonne visualizzate insieme nell'elenco tenere premuto il tasto Maiusc e selezionare le colonne.

    È possibile riordinare le colonne nella visualizzazione spostandole in alto o in basso nella casella di riepilogo Colonne selezionate.

  3. Per rimuovere una colonna dalla visualizzazione, selezionarla nella casella di riepilogo Colonne selezionate e trascinarla nella casella di riepilogo Colonne disponibili.

    La colonna Nome ruolo è obbligatoria e non può essere rimossa dalla visualizzazione dell'elenco dei ruoli.

  4. Per salvare le modifiche, fare clic su Salva.