16.1 Просмотр каталога ролей

Действие Каталог ролей на вкладке Роли и ресурсы интерфейса пользователя Identity Manager позволяет просматривать роли, ранее определенные в каталоге. Кроме того, оно позволяет создавать новые роли и изменять, удалять и назначать уже имеющиеся.

16.1.1 Просмотр ролей

  1. Щелкните Каталог ролей в списке действийРоли и ресурсы.

    User Application покажет список ролей, в настоящее время определенных в каталоге.

Фильтрация списка ролей

  1. Нажмите кнопку Фильтр просмотра в правом верхнем углу экрана Каталог ролей.

  2. В диалоговом окне Фильтр введите строку для фильтрации по имени или описанию роли либо выберите один или несколько уровней или категорий ролей.

  3. Щелкните Фильтр, чтобы применить критерии отбора.

  4. Чтобы удалить текущий фильтр, нажмите Сброс.

Задание максимального числа ролей на странице

  1. Щелкните выпадающий список Строк и выберите число строк, которое хотите видеть на каждой странице:

Прокрутка списка ролей

  1. Для перехода между страницами списка ролей нажимайте кнопки "Далее", "Назад", "Первый" или "Последний" внизу списка:

Сортировка списка ролей

Чтобы отсортировать список ролей:

  1. Щелкните заголовок столбца, по которому хотите отсортировать список.

    Индикатор в форме пирамидки показывает, какой столбец является новым столбцом сортировки. При сортировке по возрастанию индикатор сортировки показывается в обычном положении, вершиной вверх.

    При сортировке по убыванию индикатор сортировки перевернут.

    Первичный столбец сортировки определяется администратором.

При перезаписи первичного столбца сортировки новый столбец сортировки добавляется в список обязательных столбцов. Требуемые столбцы помечаются символом "звездочка" (*).

При изменении порядка сортировки списка ролей сделанная настройка сохраняется в хранилище вместе с Вашими пользовательскими настройками.

16.1.2 Создание новых ролей

  1. Нажмите кнопку Создать вверху экрана Каталог ролей:

    User Application покажет диалоговое окно "Создать роль":

  2. Введите подробные сведения для определения роли, как описано ниже:

    Таблица 16-1 Детали роли

    Поле

    Описание

    Отображаемое имя

    Текст, используемый при отображении имени роли в приложении User Application. При создании роли в поле Отображаемое имя нельзя использовать следующие символы:

    < > , ; \ " +  # = / | & *

    Можно перевести это имя на один из языков, поддерживаемых приложением User Application. См. дополнительные сведения: Таблица 1-1, Стандартные кнопки.

    Описание

    Текст, используемый для вывода описания роли в приложении User Application. Как и отображаемое имя, его можно перевести на любой язык, поддерживаемый User Application. См. дополнительные сведения: Таблица 1-1, Стандартные кнопки.

    Уровень роли

    (При изменении роли доступно только для чтения.) Выберите уровень роли в раскрывающемся списке.

    Уровни ролей определяются при помощи редактора "Проектировщик конфигурации ролей для Identity Manager".

    Субконтейнер роли

    (При изменении роли доступно только для чтения.) Место размещения объектов роли в драйвере. Контейнеры роли размещаются соответственно уровням ролей. User Application показывает только контейнеры ролей, расположенные на выбранном вами уровне ролей. Роль можно создать либо непосредственно на уровне роли, либо в контейнере в пределах уровня роли. Указывать контейнер роли не обязательно.

    Категории

    Позволяет использовать категории для организации ролей. Категории используются для фильтрации списков ролей. Категории доступны для множественного выбора.

    Владельцы

    Пользователи, определенные как владельцы определения роли. При формировании отчетов, связанных со справочником ролей, можно использовать фильтр с учетом владельца роли. Владелец роли не получает автоматически права на внесение изменений в определение роли.

  3. Нажмите Сохранить, чтобы сохранить определение роли.

    User Application показывает внизу окна несколько дополнительных вкладок, чтобы позволить завершить определение роли.

Определение отношений ролей

Вкладка Отношения ролей позволяет определить, как данная роль связана с вышестоящими и нижестоящими ролями иерархии. Эта иерархия дает возможность группировать права и ресурсы ролей более низкого уровня в роли более высокого уровня, упрощая задачу назначения прав. Допустимы следующие отношения:

  • Роли самого верхнего уровня (бизнес-роли) могут содержать роли нижних уровней. Они не могут входить в состав других ролей. Если Вы выбрали роль высшего уровня, на странице "Отношения ролей" сможете добавить только отношение с ролями более низкого уровня (дочерними ролями).

  • Роли среднего уровня (ИТ-роли) могут содержать роли более низкого уровня и, в свою очередь, входить в состав ролей более высокого уровня. Страница "Отношения ролей" позволяет добавить либо нижестоящую (дочернюю), либо вышестоящую (родительскую) роль.

  • Роли самого нижнего уровня (роли-разрешения) могут входить в состав ролей более высокого уровня, но не могут содержать другие роли самого нижнего уровня. Страница "Отношения ролей" позволяет добавить только вышестоящую роль.

Чтобы определить отношения ролей:

  1. Щелкните вкладку Отношения ролей.

  2. Нажмите кнопку Добавить.

    Откроется диалоговое окно Добавление отношения роли.

  3. Введите текст описания отношения в поле Исходное описание запроса.

  4. Укажите тип определяемого отношения, выбрав соответствующее значение в выпадающем списке Отношение ролей.

    Если новая роль — ИТ-роль, выпадающий список Отношение ролей позволяет определить Дочернее или Родительское отношение. Если новая роль — бизнес-роль, выпадающий список Отношение ролей показывает текст только для чтения, говорящий о том, что это отношение является Дочерним, т. к. с бизнес-ролью могут быть связаны только нижестоящие роли. Если новая роль — роль разрешения, выпадающий список Отношение ролей показывает текст только для чтения, говорящий о том, что это отношение является Родительским, т. к. с ролью разрешения могут быть связаны только вышестоящие роли.

    Список доступных для выбора ролей фильтруется в соответствии с выбранным Вами типом.

  5. Используйте элемент "Выбор объектов" справа от поля Выбранные роли для выбора роли (ролей), которую хотите связать с новой ролью.

  6. Нажмите кнопку Добавить.

Связывание ресурса с ролью

Чтобы связать ресурс с ролью:

  1. Перейдите на вкладку Ресурсы.

  2. Нажмите кнопку Добавить.

    User Application открывает диалоговое окно Добавить ассоциацию ресурса.

  3. Используйте элемент "Выбор объектов" для выбора нужного ресурса, затем введите текст объяснения причины связывания.

    Мастер покажет страницу со сведениями о выбранном ресурсе: названием категории ресурсов, именем владельца, параметрами наделения правами.

    Если наделение правами требует статических значений параметров, которые описывают дополнительные атрибуты или несут подробную информацию о наделении правами, мастер показывает эти статические значения рядом с меткой Значение наделения правами. Если наделение правами требует динамических параметров, мастер показывает форму запроса о ресурсе с полями для динамических параметров, а также вспомогательными полями.

  4. В поле Описание ассоциации введите текст объяснения причины связывания ресурса с ролью.

  5. Нажмите Добавить, чтобы связать выбранный ресурс с выбранной ролью.

    Список Ассоциации ресурсов покажет ресурс, который Вы добавили к определению роли:

    Что происходит с существующими назначениями роли. При добавлении новой связи ресурса с ролью, которая уже имеет назначенные объекты, система инициирует новый запрос для предоставления данного ресурса каждому из объектов.

Чтобы удалить связь ресурса с ролью:

  1. Выберите нужную связь ресурса в списке Ассоциации ресурсов.

  2. Нажмите Удалить.

    Что происходит с существующими назначениями роли. При удалении связи ресурса с ролью, на которую уже назначены объекты, система инициирует новый запрос об аннулировании назначения ресурса для каждого из объектов.

Определение процесса подтверждения для роли

Чтобы определить процесс подтверждения для роли:

  1. Перейдите на вкладку Подтверждение.

  2. Введите сведения о процессе подтверждения, как описано ниже:

    Таблица 16-2 Сведения о процессе подтверждения

    Поле

    Описание

    Необходимо

    Установите этот флажок, если требуется подтверждение роли по запросу и Вы хотите, чтобы процесс подтверждения выполнялся в соответствии с определением стандартного назначения роли.

    Если роль не требует подтверждения по запросу, сбросьте этот флажок.

    Пользовательское подтверждение

    Выберите эту опцию, если хотите использовать определение пользовательского подтверждения (определение запроса о предоставлении прав доступа). Используйте Выбор объектов, чтобы выбрать определение подтверждения.

    Стандартное подтверждение

    Выберите эту опцию, если данная роль использует стандартное определение подтверждения назначения, заданное в конфигурации подсистемы ролей и ресурсов. В приведенном ниже поле Определение подтверждения для назначения роли имя определения для утверждения доступно только для чтения.

    Вы должны выбрать тип утверждения Последовательный или Кворум, а также действующих утверждающих.

    Тип утверждения

    Выберите Последовательный, если хотите, чтобы назначение роли было утверждено всеми пользователями, перечисленными в списке Утверждающие. Утверждающие участвуют в утверждении последовательно, в порядке их перечисления в списке.

    Выберите Кворум, если хотите, чтобы назначение роли было утверждено хотя бы частью пользователей, перечисленных в списке Утверждающие. Утверждение будет завершено, когда число утвердивших достигнет указанного процента.

    Например, если нужно, чтобы запрос считался утвержденным при условии, что его утвердил хотя бы один из четырех перечисленных в списке пользователей, то необходимо указать тип "Кворум", а значение процента — 25. Как вариант, Вы можете указать 100%, если все четверо утверждающих должны участвовать в утверждении параллельно. Допустимые значения — целые числа в диапазоне от 1 до 100.

    СОВЕТ.Если на поля "Последовательный" и "Кворум" навести курсор мыши, появится текст, поясняющий их поведение.

    Утверждающие

    Выберите Пользователь, если задачу утверждения роли нужно назначить одному или нескольким пользователям. Выберите Группа, если задачу утверждения роли нужно назначить группе. Выберите Контейнер, если задачу утверждения роли нужно назначить контейнеру. Если задачу подтверждения требуется назначить роли, выберите Роль.

    Чтобы найти конкретного пользователя, группу, контейнер или роль, используйте элемент Выбор объектов. Чтобы изменить порядок расположения утверждающих в списке или удалить утверждающего, см. Раздел 1.4.4, Действия обычного пользователя.

Назначение ролей

Подробно о назначении ролей см. Раздел 16.1.5, Назначение ролей.

Проверка состояния запросов

Действие Состояние запроса позволяет увидеть состояние Ваших запросов о назначении ролей, в том числе прямых запросов, а также запросов о назначении ролей для групп или контейнеров, к которым Вы принадлежите. С его помощью можно увидеть текущее состояние каждого запроса. Кроме того, это действие дает Вам возможность отозвать запрос, обработка которого еще не завершена или не была прервана, если Ваши намерения изменились и Вы не хотите, чтобы запрос был выполнен.

Действие Состояние запроса показывает все запросы о назначении ролей, в том числе те, которые выполняются, ожидают подтверждения, подтверждены, выполнены, отклонены или прерваны.

Для просмотра состояния запроса о назначении роли:

  1. Перейдите на вкладку Состояние запроса.

  2. Чтобы увидеть подробные сведения о состоянии запроса, щелкните состояние:

    Откроется окно "Подробная информация о назначении":

    Подробно о значениях состояний см. Раздел 10.4, Просмотр состояния запроса.

  3. Чтобы отозвать запрос, выберите его и нажмите Отозвать.

    Для отзыва запросов требуется разрешение.

    Если запрос был завершен или прерван, при попытке отозвать его Вы увидите сообщение об ошибке.

16.1.3 Изменение существующей роли

  1. Выберите ранее определенную роль и щелкните Правка.

  2. Внесите в настройки свои изменения и нажмите Сохранить.

Наделения правами, связанные с существующими ролями. Роли, определенные в более ранних выпусках модуля Novell Identity Manager Roles Based Provisioning Module, могут быть связаны с определенными политиками наделения правами. Если с ролью связаны определенные политики наделения правами, в интерфейсе пользователя будет отображаться вкладка Наделение правами, которая позволяет просматривать политики наделения правами, а также удалять их. Политики наделения правами работают и в данном выпуске, но теперь компания Novell рекомендует связывать их с ресурсами, а не с ролями.

16.1.4 Удаление ролей

  1. Выберите ранее определенную роль и нажмите Удалить.

    Что происходит с существующими назначениями роли. При удалении роли, связанной с ресурсом, как и роли, на которую назначен один или несколько объектов, система удаляет назначение ресурса из каждого объекта, с которым связан данный ресурс.

    ПРИМЕЧАНИЕ.Если вы удаляете роль, которой назначен какой-либо ресурс, или удаляете пользователя из этой роли, автоматически удаляются назначения ресурсов для пользователей с этой ролью, даже если эти ресурсы были ранее назначены непосредственно. Это происходит потому, что предполагается, что наиболее достоверным источником при назначении ресурса является контроллер этого ресурса, как показано с помощью следующего сценария:

    1. Ресурс создается и назначается некоторому наделению правами.

    2. Созданному ресурсу назначается некоторый пользователь.

    3. Создается роль, которая привязывается к ресурсу, созданному на первом шаге.

    4. Затем тот же самый пользователь назначается только что созданной роли.

    5. Пользователь удаляется из роли.

    В этом случае пользователь удаляется из ресурса, даже если этот ресурс был назначен непосредственно. Изначально назначение ресурса считается достоверным источником. Однако при назначении пользователя роли, которая связана с тем же самым ресурсом, эта роль становится достоверным источником.

    Удаление ролей из ограничивающих условий разделения обязанностей. После удаления конфликтной роли, относящейся к ограничивающему условию разделения обязанностей, это условие появится в списке каталога разделения обязанностей и будет снабжено пометкой Недопустимо в квадратных скобках после имени, например Ограничивающее условие разделения обязанностей врача и фармацевта [Недопустимо].

ПРЕДУПРЕЖДЕНИЕ.Менеджер ролей, имеющий разрешение "Удалить роль" для системных ролей (или контейнера, содержащего эти роли), может удалять системные роли. Системные роли не следует удалять. Если какая-либо из системных ролей удалена, работа User Application будет нарушена.

16.1.5 Назначение ролей

Роль можно назначить двумя способами:

  • Из Каталога ролей

  • Из диалогового окна Редактировать роль

Оба способа описаны ниже.

Назначение роли из каталога

  1. Выберите ранее определенную роль в Каталоге ролей и нажмите Назначить.

    User Application откроет диалоговое окно Назначить роль:

  2. Заполните поля в диалоговом окне Назначить роль:

    1. В поле Исходное описание запроса введите текст описания причины запроса.

    2. В поле "Тип назначения" выберите Пользователь, Группа или Контейнер, чтобы показать, какому типу объектов будет назначена данная роль.

    3. С помощью элемента "Выбор объектов" введите строку поиска и нажмите "Поиск". Выберите пользователей, группы или контейнеры, которые хотите назначить.

      Назначение роли нескольким объектам. Можно выбрать одного или несколько пользователей (или групп, контейнеров) для назначения роли. При выборе нескольких объектов все выбранные объекты получают одни и те же параметры назначения роли.

    4. Укажите дату начала срока действия роли в поле Дата вступления в силу.

      Дату можно ввести в формате дд/мм/гггг чч:мм:сс а (где "а" означает ДП или ПП). Можно также щелкнуть значок "Календарь" и выбрать дату во всплывающем окне "Календарь":

    5. Укажите дату истечения срока действия роли в поле Дата окончания срока действия.

      Чтобы задать дату окончания срока действия, нажмите Укажите срок окончания действия. Дату можно ввести в формате дд/мм/гггг чч:мм:сс а (где а означает ДП или ПП). Можно также щелкнуть значок "Календарь" и выбрать дату во всплывающем окне "Календарь":

      По умолчанию дата окончания срока действия установлена как Бессрочно, это значит, что данное назначение роли будет действовать неограниченное время.

  3. Щелкните Передать.

Назначение роли в диалоговом окне "Редактировать роль"

  1. Выберите роль в Каталоге ролей и нажмите Правка, чтобы открыть диалоговое окно Редактировать роль.

  2. Перейдите на вкладку Назначения.

    На вкладке Назначения показан список назначений на выбранную роль.

  3. Чтобы добавить новое назначение, нажмите Назначить.

    User Application откроет диалоговое окно Назначить роль:

    Подробнее о работе с формой запроса о назначении ролей см. Назначение роли из каталога.

16.1.6 Обновление списка ролей

  1. Щелкните Обновить.

16.1.7 Настройка просмотра списка ролей

Каталог ролей позволяет Вам выбирать и отменять выбор столбцов, а также менять порядок расположения столбцов в просматриваемом списке ролей. Это определяется настройкой в диалоговом окне "Настроить отображение каталога ролей". При изменении списка столбцов или изменении порядка их расположения эти настройки сохраняются в хранилище вместе с Вашими пользовательскими настройками.

Чтобы настроить просмотр столбцов:

  1. Нажмите Настроить в Каталоге ролей:

    User Application показывает список столбцов, выбранных для показа в данный момент, и список дополнительных столбцов, доступных для выбора.

  2. Чтобы включить в список показываемых дополнительный столбец, выберите его в списке Доступные столбцы и перетащите в поле со списком Выбранные столбцы.

    Чтобы выбрать в списке несколько столбцов, удерживайте клавишу Ctrl и одновременно выбирайте столбцы. Чтобы выбрать несколько столбцов, стоящих в списке друг за другом, удерживайте клавишу Shift и одновременно выбирайте столбцы.

    Порядок расположения столбцов на экране можно изменить, перемещая их вверх или вниз в поле со списком Выбранные столбцы.

  3. Чтобы удалить столбец из списка показываемых, выберите его в списке Выбранные столбцы и перетащите в список Доступные столбцы.

    Столбец Имя роли является обязательным и не может быть удален из списка ролей.

  4. Нажмите кнопку Сохранить, чтобы сохранить изменения.