1.1 Identity Manager и Вы

В Вашей организации используется Novell® Identity Manager — системное ПО, которое позволяет безопасно управлять доступом сообщества пользователей к различным ресурсам. Если Вы член этого сообщества пользователей, Identity Manager дает Вам ряд преимуществ. Например, Identity Manager позволяет предприятию:

Чтобы Вы и Ваша группа могли воспользоваться этими преимуществами, приложение Identity Manager предоставляет пользовательский интерфейс, доступный из веб-навигатора.

1.1.1 Введение в Identity Manager User Application

Identity Manager User Application — это Ваш доступ к информации, ролям, ресурсам и возможностям Identity Manager. Что конкретно пользователь сможет увидеть и сделать в Identity Manager User Application, определяет системный администратор. Обычно сюда включаются следующие возможности:

  • Самообслуживание учетной записи, позволяющее:

    • отображать структурные схемы;

    • сообщать о приложениях, связанных с пользователем, если Вы — администратор. (Требуется наличие модуля обеспечения правами доступа на основе ролей Identity Manager.);

    • изменять данные профиля;

    • выполнять поиск в каталоге;

    • изменять пароль, ответ на запрос-ответ пароля и его подсказку;

    • просматривать состояние политики и синхронизации пароля;

    • создавать учетные записи для новых пользователей и групп (при наличии соответствующих полномочий).

  • Роли, позволяющие выполнять следующие действия:

    • запрашивать назначение ролей и управлять процессом подтверждения запросов на назначение ролей;

    • проверять состояние Ваших запросов ролей;

    • определять роли и их взаимоотношения;

    • определять ограничения разделения обязанностей (SoD) и управлять процессом подтверждения в случаях, когда пользователь запрашивает переопределение ограничения;

    • просматривать справочник ролей;

    • просматривать подробные отчеты, в которых перечислены роли и ограничения разделения обязанностей, определенные в справочнике, а также текущее состояние назначения ролей, исключения разделения обязанностей и полномочия пользователя.

    ПРИМЕЧАНИЕ.Возможность определять пользовательские роли доступна только в выпуске Identity Manager 4.0.1 Advanced Edition. В выпуске Standard Edition поддерживаются только системные роли.

  • Ресурсы, которые позволяют:

    • запрашивать назначение ресурсов и управлять процессом подтверждения для запросов о назначении ресурсов;

    • проверять состояние запросов на ресурсы;

    • просматривать справочник ресурсов.

    ПРИМЕЧАНИЕ.Для использования ресурсов требуется выпуск Identity Manager 4.0.1 Advanced Edition. В выпуске Standard Edition эта функция не поддерживается.

  • Рабочий процесс, который позволяет:

    • запрашивать настраиваемые рабочие процессы;

    • проверять подтверждение Ваших запросов ролей, ресурсов и процессов;

    • работать с назначенными Вам задачами подтверждения других запросов;

    • выполнять запросы процессов и подтверждения в качестве доверенного лица или делегата кого-либо другого;

    • назначать кого-либо еще доверенным лицом или делегатом (при наличии соответствующих полномочий);

    • управлять всеми этими функциями запросов и подтверждений в интересах Вашей группы (при наличии соответствующих полномочий);

    ПРИМЕЧАНИЕ.Для использования процессов рабочих потоков требуется выпуск Identity Manager 4.0.1 Advanced Edition. В выпуске Standard Edition эта функция не поддерживается.

  • Модуль "Соответствие" позволяет:

    • запрашивать подтверждение профиля пользователя;

    • запрашивать подтверждение разделения обязанностей (SoD);

    • запрашивать подтверждение назначения ролей;

    • запрашивать подтверждение назначения пользователя.

    ПРИМЕЧАНИЕ.Для использования функций соблюдения условий требуется выпуск Identity Manager 4.0.1 Advanced Edition. В выпуске Standard Edition эта функция не поддерживается.

ВАЖНО.Приложение IDM не является средой. Области в приложении IDM, для которых поддерживаются необходимые изменения, перечислены в документации продукта. Изменения областей, не описанные в документации продукта, не поддерживаются.

1.1.2 Большой рисунок

Рисунок 1-1 IDM User Application предоставляет пользовательский интерфейс для Identity Manager

1.1.3 Обычное использование

Здесь приведены некоторые примеры обычного применения приложения Identity Manager на предприятии.

Работа с самообслуживанием учетной записи

  • Элла (конечный пользователь) при помощи функций самообслуживания учетной записи восстанавливает забытый пароль для входа в систему.

  • Эрик (конечный пользователь) выполняет поиск всех сотрудников своего офиса, говорящих по-немецки.

  • Эдуардо (конечный пользователь) просматривает структурную схему, находит Эллу и щелкает значок электронной почты, чтобы отправить ей сообщение.

Работа с ролями и ресурсами

  • Максин (менеджер ролей) создает бизнес-роли "Медицинская сестра" и "Врач" и ИТ-роли "Дает лекарства" и "Выписывает рецепты". Максин создает различные ресурсы, необходимые для данных ролей, и связывает эти ресурсы с ролями.

  • Максин (менеджер ролей) определяет отношение между ролями "Медицинская сестра" и "Дает лекарства", указывая, что в состав роли "Медицинская сестра" входит роль "Дает лекарства". Макс также определяет отношение между ролями "Выписывает рецепты" и "Врач", указывая, что роль "Выписывает рецепты" входит в состав роли "Врач".

  • Честер (сотрудник службы безопасности) определяет ограничение распределения обязанностей, в котором указано, что между ролями "Врач" и "Медицинская сестра" существует потенциальный конфликт. Он заключается в том, что одному пользователю в обычных условиях не должны назначаться обе роли одновременно. В некоторых случаях пользователь, запросивший назначение роли, возможно, пожелает переопределить это ограничение. Чтобы определить исключение при разделении обязанностей, пользователь, запросивший назначение, должен предоставить обоснование.

  • Эрнест (конечный пользователь) просматривает список доступных ему ролей и запрашивает назначение ему роли "Медицинская сестра".

  • Эмилия (утверждающий пользователь) получает по электронной почте уведомление (содержащее URL-адрес) о запросе, требующем подтверждения. Она щелкает ссылку, получает форму подтверждения и с ее помощью подтверждает запрос.

  • Арнольд (менеджер ролей) запрашивает назначение Эрнесту роли "Врач". Он уведомляется о том, что между ролью "Врач" и ролью "Медицинская сестра", которая уже назначена Эрнесту, существует потенциальный конфликт. Арнольд предоставляет обоснование тому, чтобы для ограничения распределения обязанностей было сделано исключение.

  • Эдвард (пользователь, утверждающий распределение обязанностей) по электронной почте получает уведомление о конфликте распределения обязанностей. Он утверждает запрос Арнольда на переопределение ограничения распределения обязанностей.

  • Эмилия (утверждающий пользователь) получает по электронной почте уведомление о запросе, требующем подтверждения, для роли "Врач". Она утверждает запрос Арнольда на назначение Эрнесту роли "Врач".

  • Билл (аудитор ролей) просматривает отчет о нарушениях и исключениях распределения обязанностей и видит, что Эрнесту назначены обе роли — и "Врач", и "Медицинская сестра". Кроме того, он видит, что Эрнесту были назначены ресурсы, соответствующие этим ролям.

Работа с запросами процессов

  • Эрни (конечный пользователь) просматривает список доступных ему ресурсов и делает запрос на доступ к системе Siebel*.

  • Эми (утверждающий пользователь) получает по электронной почте уведомление (содержащее URL-адрес) о запросе, требующем подтверждения. Она щелкает ссылку, получает форму подтверждения и с ее помощью подтверждает запрос.

  • Эрни проверяет состояние сделанного им ранее запроса на доступ к Siebel (который в этот момент передан на подтверждение следующему сотруднику). Он видит, что запрос все еще выполняется.

  • Эми собирается в отпуск, поэтому указывает, что временно будет отсутствовать. На время ее отсутствия новые задачи подтверждения ей не назначаются.

  • Эми открывает список своих задач подтверждения; видит, что их слишком много, чтобы обработать своевременно; и передает некоторые из них своим сотрудникам.

  • Пэт (ассистент администрации, действующий как доверенное лицо Эми) открывает список задач Эми и выполняет вместо нее задачи подтверждения.

  • Макс (менеджер) просматривает списки задач сотрудников своего отдела. Он знает, что Эми в отпуске, поэтому перераспределяет задачи среди других сотрудников своего отдела.

  • Макс запрашивает из базы данных учетные записи сотрудников, подчиненных ему непосредственно.

  • Макс назначает Дэна на роль уполномоченного делегата Эми.

  • Дэн (теперь делегат утверждающего) во время отсутствия Эми получает ее задачи.

  • Макс привлекает к работе без оплаты стажера, который не будет зарегистрирован в отделе кадров. Системный администратор создает пользовательскую запись для этого стажера и делает запрос на предоставление ему доступа к Notes, Active Directory* и Oracle*.

Работа с модулем "Соответствие"

  • Максин (менеджер ролей) создает бизнес-роли "Медицинская сестра" и "Врач" и ИТ-роли "Дает лекарства" и "Выписывает рецепты".

  • Максин (менеджер ролей) определяет отношение между ролями "Медицинская сестра" и "Дает лекарства", указывая, что в состав роли "Медицинская сестра" входит роль "Дает лекарства". Макс также определяет отношение между ролями "Выписывает рецепты" и "Врач", указывая, что роль "Выписывает рецепты" входит в состав роли "Врач".

  • Честер (сотрудник службы безопасности) определяет ограничение распределения обязанностей, в котором указано, что между ролями "Врач" и "Медицинская сестра" существует потенциальный конфликт. Он заключается в том, что одному пользователю в обычных условиях не должны назначаться обе роли одновременно. В некоторых случаях пользователь, запросивший назначение роли, возможно, пожелает переопределить это ограничение. Чтобы определить исключение при разделении обязанностей, пользователь, запросивший назначение, должен предоставить обоснование.

  • Арнольд (менеджер ролей) запрашивает назначение Эрнесту роли "Врач". Он уведомляется о том, что между ролью "Врач" и ролью "Медицинская сестра", которая уже назначена Эрнесту, существует потенциальный конфликт. Арнольд предоставляет обоснование тому, чтобы для ограничения распределения обязанностей было сделано исключение.

  • Филипп (администратор модуля "Соответствие") инициирует процесс подтверждения назначения роли "Медсестра".

  • Фиона (подтвердитель) получает уведомление о задаче подтверждения по электронной почте (письмом, содержащим URL-адрес). Она идет по ссылке, указанной в письме, и представляется в форме для подтверждения. Она дает утвердительный ответ на вопрос о подтверждении, тем самым подтверждая правильность сведений.

  • Филипп (администратор модуля "Соответствие") инициирует новый запрос на подтверждение профилей пользователей-членов группы "Сотрудники".

  • Каждый пользователь из группы "Сотрудники" получает по электронной почте уведомление о задаче подтверждения (в письме указан URL-адрес). Каждый пользователь идет по ссылке, указанной в письме, и представляется в форме для подтверждения. Форма дает пользователю возможность просмотреть значения различных параметров профиля. После получения информации каждый пользователь отвечает на вопрос о подтверждении.