Lo scopo della scheda
è di offrire un metodo pratico per l'esecuzione delle azioni di provisioning basate sui ruoli, che consentono di gestire le definizioni e le assegnazioni dei ruoli all'interno dell'organizzazione. È possibile mappare le assegnazioni dei ruoli alle risorse di un'azienda, ad esempio ai conti utente, ai computer e ai database. Ad esempio, è possibile utilizzare la scheda :effettuare richieste di ruoli per sé o per altri utenti dell'organizzazione;
creare ruoli e relazioni fra ruoli nella gerarchia di ruoli;
creare vincoli di separazione dei compiti per gestire i potenziali conflitti fra assegnazioni di ruoli;
esaminare rapporti che forniscono dettagli sullo stato attuale·del catalogo dei ruoli e i ruoli attualmente assegnati a utenti, gruppi e container.
Quando per una richiesta di assegnazione ruolo è necessaria un'autorizzazione da parte di uno o più utenti di un'organizzazione, questa richiesta avvia un workflow che coordina le approvazioni necessarie per soddisfare la richiesta. Per alcune richieste di assegnazione ruolo è necessaria l'approvazione da parte di un solo utente, mentre altre necessitano dell'approvazione di diversi·utenti. In alcuni casi è possibile che una richiesta venga soddisfatta senza approvazioni.
Se un'assegnazione ruolo può provocare un conflitto di separazione dei compiti, l'iniziatore può ignorare il vincolo di separazione dei compiti e fornire una giustificazione per creare un'eccezione del vincolo. Un conflitto di separazione dei compiti può talvolta provocare l'avvio di un workflow. Il workflow coordina le approvazioni necessarie a rendere valida l'eccezione di separazione dei compiti.
Il progettista del workflow e l'amministratore del sistema sono responsabili dell'impostazione del contenuto della scheda
per tutti gli utenti dell'organizzazione. Il flusso di controllo relativo a un workflow basato su ruoli o di separazione dei compiti, nonché l'aspetto dei moduli, può variare in base al modo in cui è stata specificata la definizione dell'approvazione per il workflow in Designer per Identity Manager. I contenuti che è effettivamente possibile visualizzare dipendono in genere dai requisiti e dal livello di autorità correlati al lavoro dell'utente.La modalità utente incaricato è disponibile solo nella scheda
, mentre non è supportata dalla scheda . Se si attiva la modalità utente incaricato nella scheda , e quindi si passa alla scheda , la modalità utente incaricato verrà disattivata per entrambe le schede.Questa sezione include una presentazione dei termini e delle nozioni utilizzati nella scheda
:Un ruolo definisce un gruppo di autorizzazioni correlate a uno o più sistemi o applicazioni di destinazione. La scheda consente agli utenti di richiedere assegnazioni ruoli, ovvero le associazioni tra un ruolo e un utente, un gruppo o un container. La scheda consente di definire le relazioni fra i ruoli, che determinano le associazioni fra i ruoli nella rispettiva gerarchia.
È possibile assegnare i ruoli direttamente a un utente. Queste assegnazioni dirette consentono all'utente di accedere in modo esplicito alle autorizzazioni associate al ruolo. È inoltre possibile definire assegnazioni indirette che consentono agli utenti di acquisire ruoli mediante l'appartenenza a un gruppo, container o ruolo correlato nella gerarchia dei ruoli.
Quando si richiede un'assegnazione ruolo, è possibile definire una data di inizio validità dell'assegnazione ruolo per indicare la data e l'ora in cui l'assegnazione diventa valida. Si si lascia questo campo vuoto, l'assegnazione diventa subito valida.
È inoltre possibile definire una data di scadenza di assegnazione del ruolo per indicare la data e l'ora in cui l'assegnazione verrà rimossa automaticamente.
Quando un utente richiede un'assegnazione ruolo, il ciclo di vita della richiesta viene gestito dal sottosistema di ruoli. Per visualizzare le azioni eseguite sulla richiesta da parte degli utenti o dal sottosistema ruoli, è possibile controllare lo stato della richiesta nella pagina Visualizza stato richiesta.
Affinché gli utenti possano assegnare dei ruoli, è necessario definire questi ultimi nel Catalogo dei ruoli. Il Catalogo dei ruoli è l'archivio in cui vengono memorizzate tutte le definizioni dei ruoli e supporta i dati necessari per il sottosistema dei ruoli. Il Catalogo dei ruoli viene configurato da un amministratore del modulo dei ruoli (o manager dei ruoli), che definisce i ruoli e la relativa gerarchia.
La gerarchia dei ruoli stabilisce le relazioni fra i ruoli nel catalogo. La definizione delle relazioni fra i ruoli consente di semplificare la concessione delle autorizzazioni mediante le assegnazioni dei ruoli. Ad esempio, anziché assegnare 50 ruoli di medico ogni volta che un medico svolge un servizio per l'organizzazione, è possibile definire un ruolo Medico e specificare una relazione fra il ruolo Medico e ciascuno dei ruoli di medico. Assegnando gli utenti al ruolo Medico, è possibile concedere loro le autorizzazioni definite per ciascuno dei ruoli di medico correlati.
La gerarchia dei ruoli supporta tre livelli. I ruoli di livello superiore (denominati Ruoli aziendali) definiscono le operazioni di tipo aziendale all'interno dell'organizzazione. I ruoli di livello medio (denominati ruoli IT) supportano le funzioni di tipo tecnologico. I ruoli di livello inferiore nella gerarchia (denominati Ruoli permesso) definiscono i privilegi di livello inferiore. Nell'esempio seguente viene illustrata una gerarchia di ruoli, a titolo esemplificativo, costituita da tre livelli per un'organizzazione di medicina. Il livello più alto della gerarchia si trova a sinistra, mentre quello più basso a destra:
Figura 14-1 Gerarchia di ruoli di esempio
Un ruolo di livello superiore include automaticamente i privilegi dei ruoli di livello inferiore in esso contenuti. Ad esempio, un ruolo aziendale include automaticamente i privilegi dei ruoli IT in esso contenuti. In modo analogo, un ruolo IT include automaticamente i privilegi dei ruoli permesso in esso contenuti.
Non sono consentite relazioni tra i ruoli peer nella gerarchia. I ruoli di livello inferiore, inoltre, non possono contenere ruoli di livello più alto.
Quando si definisce un ruolo, a scelta è possibile indicare uno o più proprietari del ruolo. Un proprietario ruolo è un utente designato come proprietario della definizione del ruolo. Quando si generano rapporti per il catalogo dei ruoli, è possibile applicare loro un filtro in base al proprietario del ruolo. Il proprietario di un ruolo non dispone automaticamente dell'autorizzazione per l'amministrazione delle modifiche alla definizione del ruolo specificato. In alcuni casi, il proprietario deve chiedere a un amministratore ruoli di eseguire tutte le azioni di amministrazione sul ruolo.
Quando si definisce un ruolo, a scelta è possibile associare quest'ultimo a una o più categorie di ruoli. Una categoria ruolo consente di classificare i ruoli per organizzare il sistema dei ruoli. Dopo aver associato un ruolo a una categoria, è possibile utilizzare quest'ultima come filtro durante l'esplorazione del Catalogo dei ruoli.
Se una richiesta di assegnazione del ruolo necessita dell'approvazione, la definizione del ruolo specifica i dettagli sul processo di workflow utilizzato per coordinare le approvazioni, nonché l'elenco di approvatori. Gli approvatori sono gli utenti che possono approvare o rifiutare una richiesta di assegnazione ruolo.
Una funzione principale del sottosistema ruoli è la possibilità di definire i vincoli di separazione dei compiti. Un vincolo di separazione dei compiti è una regola che definisce due ruoli considerati in conflitto. I vincoli di separazione dei compiti di un'organizzazione vengono creati dai responsabili della sicurezza, che stabiliscono questi vincoli per impedire che gli utenti vengano assegnati a ruoli in conflitto, oppure per gestire un giornale delle connessioni e tenere traccia dei casi un cui sono state consentite violazioni. In un vincolo di separazione dei compiti i ruoli in conflitto devono occupare lo stesso livello nella gerarchia dei ruoli.
Alcuni vincoli di separazione dei compiti possono essere ignorati senza approvazione, mentre altri necessitano dell'approvazione. I conflitti consentiti senza approvazione sono denominati violazioni di separazione dei compiti. I conflitti approvati sono denominati eccezioni approvate di separazione dei compiti. Il sottosistema di ruoli non necessita di approvazioni per le violazioni di separazione dei compiti che derivano da assegnazioni indirette, come ad esempio l'appartenenza a un gruppo o container, o relazioni fra i ruoli.
Se per un conflitto di separazione dei compiti è necessaria l'approvazione, la definizione del vincolo specifica i dettagli sul processo di workflow utilizzato per coordinare le approvazioni, nonché l'elenco di approvatori. Gli approvatori sono gli utenti che possono approvare o rifiutare un'eccezione del vincolo di separazione dei compiti. Durante la configurazione del sottosistema ruoli viene definito un elenco di default. È tuttavia possibile ignorare questo elenco nella definizione di un vincolo di separazione dei compiti (SoD).
Il sottosistema ruoli include una funzione avanzata di generazione rapporti per consentire ai revisori di analizzare il Catalogo dei ruoli, nonché lo stato attuale delle assegnazioni dei ruoli e dei vincoli, delle violazioni e delle eccezioni del vincolo di separazione dei compiti. La funzione di generazione di rapporti dei ruoli consente ai revisori dei ruoli e agli amministratori del modulo dei ruoli di visualizzare i seguenti tipi di rapporti in formato PDF:
Rapporto elenco ruoli
Rapporto dettagli ruolo
Rapporto assegnazione ruoli
Rapporto vincolo di separazione dei compiti
Rapporto eccezione e violazione vincolo di separazione dei compiti
Rapporto ruoli utente
Rapporto autorizzazioni utente
Oltre che per fornire le informazioni mediante la funzione di generazione rapporti, è possibile configurare il sottosistema ruoli per registrare gli eventi in Novell® Audit.
Il sottosistema ruoli utilizza un gruppo di ruoli di sistema per proteggere l'accesso alle funzioni nella scheda
. Ogni azione di menu nella scheda è mappata a uno o più ruoli di sistema. Se un utente non è membro di uno dei ruoli associati a un'azione, la voce di menu corrispondente non verrà visualizzata nella scheda .I ruoli di sistema sono ruoli amministrativi definiti automaticamente dal sistema durante l'installazione per l'attività di amministrazione delegata. Di seguito vengono riportate alcune delle modifiche.
Amministratore modulo dei ruoli
Manager dei ruoli
Revisore dei ruoli
Responsabile sicurezza
Segue un elenco dettagliato dei ruoli del sistema:
Tabella 14-1 Ruoli sistema
Il Sottosistema ruoli, oltre a supportare i ruoli di sistema, consente l'accesso agli utenti autenticati. Un utente autenticato è un utente collegato all'applicazione utente, che non usufruisce di privilegi speciali mediante l'appartenenza a un ruolo di sistema. Un tipico utente autenticato può eseguire una qualunque delle seguenti funzioni:
Visualizzare tutti i ruoli assegnati all'utente.
Richiedere un'assegnazione, solo per se stesso, ai ruoli per i quali dispone dei diritti di esplorazione.
Visualizzare lo stato delle richieste di cui l'utente in questione è richiedente o destinatario.
Ritirare le richieste di assegnazione ruolo di cui l'utente specificato è sia richiedente sia destinatario.
Il sottosistema ruoli utilizza il driver del servizio del ruolo per gestire l'elaborazione back end dei ruoli. Gestisce, ad esempio, tutte le assegnazioni dei ruoli, avvia i workflow per le richieste di assegnazione dei ruoli e i conflitti di separazione dei compiti che necessitano delle approvazioni, nonché le assegnazioni indirette dei ruoli in base all'appartenenza al gruppo e al container e quella nei ruoli correlati. Il driver consente inoltre di concedere e revocare le autorizzazioni per gli utenti in base alle relative appartenenze ai ruoli ed esegue le procedure di pulizia per le richieste completate.
Per informazioni dettagliate sul driver del servizio del ruolo, vedere Applicazione utente Identity Manager: Guida all'amministrazione.