34.1 Oprávnění na základě rolí

Zásada RBE je objekt dynamické skupiny konzole OpenText Identity Console s dalšími přidanými funkcemi, který umožňuje udělovat oprávnění RBE v připojených systémech. Při vytváření zásady RBE definujete členství pro zásadu a také oprávnění, která mají být udělena členům zásady RBE. Každá zásada RBE je přidružena k jednomu objektu sady ovladačů přiřazenému k určitému serveru. Stejně jako ovladač nástroje OpenText Identity Manager může každá zásada oprávnění spravovat pouze objekty, které jsou v hlavní replice nebo replice pro čtení/zápis na serveru, ke kterému je přiřazena.

Následující oddíly obsahují podrobné vysvětlení oprávnění na základě rolí:

34.1.1 Shrnutí

Na této stránce je zobrazen přehled kritérií členství a oprávnění pro zásadu oprávnění.

Členství:

Kritéria zadaná pro dynamické členství se zobrazují v syntaxi filtru LDAP. Identita hledání udává, jaká práva objektu jsou použita při dotazování na dynamické členství, a základní rozlišující název a rozsah udávají, jaká část stromu je zahrnuta do dotazu.

Zaškrtnutím políčka můžete zobrazit začlenění a vyloučení statického členství.

Na stránce Souhrn se nezobrazuje kombinovaný seznam všech členů, protože seznam by mohl být dlouhý. Pokud budete chtít zobrazit kombinovaný seznam všech členů zásady oprávnění (dynamických i statických), použijte kartu Členství > Zobrazit členství.

Oprávnění:

Oprávnění v připojených systémech, která jsou udělena členům zásady oprávnění. Mějte na paměti, že oprávnění na základě rolí mají volnější konzistenci s připojenými systémy. To znamená, že stav oprávnění v připojeném systému se nezobrazuje v rozhraní zásad oprávnění. Pokud zásadě oprávnění udělíte oprávnění, které pak již nebude v připojeném systému k dispozici, bude toto oprávnění stále uvedeno v seznamu zásad oprávnění, dokud ho ze seznamu ručně neodeberete.

Řešení konfliktů:

U zásad RBE, které mají hodnoty, se tyto metody používají k určení hodnot udělených uživateli, pokud dvě nebo více zásad RBE udělují danému uživateli různé hodnoty. Příkladem oprávnění, které má hodnoty, je členství v e-mailových seznamech adresátů, kde jsou hodnotami názvy seznamů adresátů.

Metoda řešení konfliktů se u každého objektu ovladače nastavuje pro každé jednotlivé oprávnění zvlášť. Pokud se oprávnění používá ve více zásadách RBE, je metoda řešení konfliktů pro všechny zásady RBE stejná. Pokud chcete metodu řešení konfliktů pro oprávnění změnit, změňte nastavení pro toto oprávnění v manifestu daného ovladače.

  • Unrecognized (Nerozpoznáno): Zásada RBE nebyla v průvodci dokončena nebo bylo v manifestu ovladače nesprávně zadáno nastavení.

  • Merge (Sloučit): Výchozí nastavení je Merge (union v manifestu ovladače). To znamená, že uživateli jsou uděleny všechny hodnoty tohoto oprávnění ze všech zásad RBE, jichž je členem.

    Při použití výchozího nastavení Merge není pořadí priorit v seznamu zásad pro toto konkrétní oprávnění důležité.

    Uživateli je například uděleno členství v e-mailových seznamech adresátů pro ovladač GroupWise® Driver A pomocí dvou různých zásad RBE – Managers (Manažeři) a Team Members (Členové týmu). V rámci zásady 1 je uživateli uděleno členství v e-mailovém seznamu adresátů Managers a v rámci zásady 2 je mu uděleno členství v e-mailovém seznamu adresátů Team Members. Pokud je nastavena možnost Merge, je uživateli uděleno členství v obou e-mailových seznamech adresátů.

  • Priority (Priorita): Toto nastavení znamená, že pokud více zásad RBE uděluje uživateli různé hodnoty pro stejné oprávnění ze stejného objektu ovladače, budou uživateli uděleny pouze hodnoty uvedené v zásadě RBE, která je v seznamu nejvýše.

    Při použití nastavení Priority je pořadí priorit v seznamu zásad pro dané oprávnění důležité.

    Uživateli je například uděleno členství v e-mailových seznamech adresátů pro ovladač GroupWise Driver A pomocí dvou různých zásad RBE – Managers (Manažeři) a Team Members (Členové týmu). V rámci zásady Managers je uživateli uděleno členství v e-mailovém seznamu adresátů Managers a v rámci zásady Team Members je uživateli uděleno členství v e-mailovém seznamu adresátů Team Members. Zásada Managers je v seznamu zásad uvedena výše než zásada Team Members. Pokud je zvoleno nastavení Priority, je uživateli uděleno členství pouze v e-mailovém seznamu adresátů Managers.

    Použití priority pro řešení konfliktů může být užitečné, pokud například atribut v připojeném systému umožňuje pouze jednu hodnotu. Pokud hodnotu tohoto atributu udělí stejnému uživateli dvě různé zásady RBE, dostane uživatel hodnotu udělenou zásadou RBE, která je v seznamu nejvýše.

POZNÁMKA:Nastavení řešení konfliktů není k dispozici pro oprávnění, která nemají žádné hodnoty, například účet. Oprávnění, která nemají žádné hodnoty, jsou členům zásady RBE udělena vždy bez ohledu na prioritu zásad v seznamu.

34.1.2 Dynamičtí členové

Kritéria zadaná pro dynamické členství se zobrazují v syntaxi filtru LDAP. Identita hledání udává, jaká práva objektu jsou použita při dotazování na dynamické členství, a základní rozlišující název a rozsah udávají, jaká část stromu je zahrnuta do dotazu.

Filtr členství

Můžete definovat kritéria členství, například umístění ve stromu a atributy objektu. Členství by například mohlo záviset na tom, zda je uživatel v aktivním kontejneru, nebo zda jeho pracovní pozice obsahuje slovo Manager (Manažer). Uživatelé, kteří splňují daná kritéria, jsou automaticky členy zásady RBE, aniž byste je museli do zásady přidávat každého zvlášť. Dynamické členství funguje stejně jako objekt Dynamická skupina.

Pokud se objekt změní tak, že již nesplňuje kritéria pro dynamické členství, oprávnění se při příštím opětovném vyhodnocení uživatele automaticky odvolají.

Nastavení parametrů hledání

Zadejte umístění uživatelů, které má zásada oprávnění spravovat. Zvolte kontejner, ve kterém se nacházejí uživatelé (Základní rozlišující název), a jak daleko dolů od tohoto kontejneru chcete hledat (Rozsah hledání). Aby bylo možné pomocí zásady oprávnění spravovat uživatele v zadaných kontejnerech, musí být uživatelé na serveru v replice pro čtení/zápis nebo v hlavní replice.

Pro rozsah hledání jsou k dispozici následující možnosti:

  • Tento kontejner a dílčí kontejnery: Uživatelé pod tímto kontejnerem ve stromu jsou členy zásady oprávnění, pokud splňují kritéria zadaná pro dynamické členství. Členy jsou i uživatelé uvnitř dílčích kontejnerů, pokud splňují daná kritéria.

  • Pouze tento kontejner: Uživatelé uvnitř tohoto kontejneru jsou členy zásady oprávnění pouze tehdy, pokud splňují kritéria stanovená pro dynamické členství. Uživatelé uvnitř dílčích kontejnerů pod tímto kontejnerem členy nejsou, ani když splňují daná kritéria.

Definování kritérií filtru

Zadejte charakteristické vlastnosti určující, kteří uživatelé jsou členy zásady oprávnění.

Na stránce Souhrn zásady oprávnění se zadaná kritéria dynamického členství zobrazují v syntaxi filtru LDAP.

Ve výchozím nastavení je dynamické členství nastaveno tak, že mezi členy zásady oprávnění jsou v rámci daného rozsahu hledání zahrnuty všechny objekty třídy User (Uživatel) a také objekty tříd odvozených od této třídy.

POZNÁMKA:Pokud vytvoříte novou třídu objektů odvozenou od třídy User, existující zásada oprávnění nebude tuto třídu zohledňovat, dokud zásadu oprávnění neupravíte. Zamezí se tak neúmyslnému udělení oprávnění uživatelům nové třídy. Při jakékoli úpravě zásady oprávnění se aktualizuje seznam tříd odvozených od uživatelů pro danou zásadu.

Vytváření dynamického členství

Na kartě Dynamičtí členové proveďte následující kroky:

  1. Klikněte na kartu Dynamičtí členové.

  2. Podle potřeby použijte filtry Identita hledání, Začít hledat v a Rozsah hledání.

  3. Kliknutím na konkrétní položku Vytvořit skupinu vytvořte novou podmínku nebo řádek a zadejte požadovaná kritéria hledání nebo podmínku.

    Rozsah hledání: Rozsah hledání označuje sadu položek na úrovni základního rozlišujícího názvu hledání nebo pod ním, které by mohly být považovány za potenciální shody pro operaci hledání.

    Kritéria hledání: Vyhledávání můžete omezit, což vám může pomoci najít konkrétní záznam nebo skupinu záznamů v případě velkého počtu záznamů.

    Základní rozlišující název: Základní rozlišující název je bod, ze kterého bude server vyhledávat uživatele.

    Skupina protokolu LDAP: Jedná se o hierarchické uspořádání uživatelů, skupin a organizačních jednotek, které jsou kontejnery pro uživatele a skupiny.

POZNÁMKA:Uživatel může vytvořit jednu nebo více skupin s podmínkami. Podmínky se skládají z atributů, operátorů a hodnot. Ve výchozím nastavení se vyplní podmínka Object Class (Třída objektů) > je rovno > User (Uživatel).

34.1.3 Statičtí členové

Statičtí členové jsou třída členů a jsou deklarováni pomocí statických klíčových slov. Statický člen má určitý omezený přístup.

Na kartě Statičtí členové lze provádět následující operace:

Zahrnout členy:

Statické přidání členů, kteří nejsou zahrnuti pomocí filtru dynamického členství

Vyloučit členy:

Vyloučení členů, kteří splňují kritéria filtru, ale neměli by být zahrnuti do zásady oprávnění

34.1.4 Oprávnění

RBE umožňuje udělit oprávnění v připojených systémech a práva v nástroji OpenText Identity Manager. Udělit můžete následující oprávnění:

  • Účty v připojených systémech

  • Členství v distribučních seznamech e-mailů v připojených systémech.

  • Členství ve skupině v připojených systémech

  • Atributy pro odpovídající objekty v připojených systémech vyplněné hodnotami, které zadáte

POZNÁMKA:Funkce Oprávnění je součástí nástroje OpenText Identity Manager, takže před udělením oprávnění na připojených systémech musíte mít nainstalovány a nakonfigurovány příslušné ovladače nástroje OpenText Identity Manager.

Vytvoření oprávnění

Na kartě Oprávnění proveďte následující kroky:

  1. Klikněte na kartu Oprávnění.

  2. Klikněte na Add Drivers (Přidat ovladače) a zadejte oprávnění v připojených systémech.

    Zobrazí se obrazovka pro přidání ovladače.

  3. Vyberte ovladač z rozevírací nabídky.

  4. Klikněte na tlačítko Přidat.

    Zobrazí se obrazovka Add Entitlements (Přidat oprávnění).

  5. V rozevírací nabídce zvolte skupinu oprávnění, kterou chcete přidat.

  6. Vyberte typ dotazu:

    • Cached (Uloženo v mezipaměti): V případě, že byly dotazy již dříve spuštěny

    • External Query (Externí dotaz): V případě nových dotazů

    Zobrazí se obrazovka Add Group Entitlement (Přidat skupinové oprávnění).

  7. V rozevírací nabídce vyberte skupinové oprávnění a klikněte na tlačítko Vybrat.

34.1.5 Práva k jiným objektům

Pomocí této stránky můžete objektu OpenText eDirectory udělit práva důvěryhodného uživatele zásady oprávnění. Každý člen zásady oprávnění se stává důvěryhodným uživatelem objektu.

Kromě přiřazení práv ke všem atributům můžete kliknutím na tlačítko Add Property (Přidat vlastnost) přiřadit práva ke konkrétním vlastnostem.

Pomocí zaškrtávacího políčka Zdědit lze určit, zda budou práva ve stromu děděna směrem dolů. Pokud například přiřazujete práva k objektu kontejneru a chcete, aby zásada oprávnění měla stejná práva i pro objekty a dílčí kontejnery, které jsou pod tímto kontejnerem, zaškrtněte políčko Zdědit.

Práva k objektům v rámci OpenText eDirectory jsou členům zásady oprávnění udělena po dokončení změn na této stránce. Naproti tomu se oprávnění v připojených systémech udělí každému členovi zásady oprávnění při příští úpravě atributu používaného pro dynamické členství u daného uživatele nebo při přesunutí či přejmenování uživatele. (Totéž platí v případě odvolávání práv a oprávnění.) K vynucení aktualizace použijte úlohu Znovu vyhodnotit členství.

Vytvoření práv k jiným objektům

Vytvoření práv:

  1. Klikněte na kartu Rights to Other Objects (Práva k jiným objektům).

    Tady můžete přidat nový objekt a vyhledat objekty, jejichž důvěryhodným uživatelem má být tato zásada oprávnění.

    1. Pokud chcete přidat objekt, klikněte na tlačítko .

      Zobrazí se stránka PROHLÍŽEČ KONTEXTU. Stránka se skládá z objektů.

    2. Rozbalte položku Objekty, podle potřeby vyberte skupiny nebo jednotlivé uživatele a přiřaďte jim práva.

    3. Pokud chcete přidat další vlastnosti, klikněte na .

      Zobrazí se stránka VYBRAT VLASTNOSTI. Tato stránka obsahuje seznam vlastností, které může objekt mít.

    4. Klikněte na tlačítko Hotovo.

  2. (Volitelné) Pomocí šipek nahoru a dolů můžete nastavit prioritu zásad RBE.

    Prioritizace zásad se používá k vyřešení konfliktů oprávnění mezi více zásadami. Nejvyšší prioritu má zásada zcela nahoře. Další informace najdete v části: Prioritizace zásad RBE

34.1.6 Prioritizace zásad RBE

Při vytváření zásad RBE může dojít ke konfliktu zásad ovlivňujících konkrétního uživatele.

Pořadí zásad RBE v seznamu vyjadřuje prioritu. Pořadí v seznamu můžete změnit pomocí šipek nahoru a dolů.

  • Toto nastavení může být užitečné, pokud například atribut připojeného systému umožňuje pouze jednu hodnotu. Pokud stejnému uživateli udělují hodnotu tohoto atributu dvě různé zásady RBE, dostane uživatel hodnotu, kterou uděluje zásada RBE umístěná nejvýše v seznamu. Dalším příkladem může být nakonfigurování vašeho prostředí na použití oprávnění k umístění uživatelů do hierarchické struktury v jiném systému. Uživatel by měl být umístěn buď na jedno, nebo na druhé místo, nikoli na obě místa současně.

  • Nezapomeňte, že nastavení je pro každé oprávnění nabízené jednotlivými ovladači nezávislé.

  • Zpravidla byste měli zásady pro správce nebo manažery umístit v seznamu výše než zásady pro koncové uživatele či jednotlivé přispěvatele. Skupiny s užším členstvím byste měli zařadit výše než skupiny s širším členstvím.

Stanovení priorit zásad RBE:

  1. Vyberte zásadu oprávnění, kterou chcete upgradovat nebo downgradovat.

  2. Prioritizujte zásady RBE pomocí šipek nahoru a dolů .

  3. Klikněte na tlačítko Uložit .

    Na kartě Souhrn se zobrazí souhrn údajů o členství v zásadě.

  4. Restartujte ovladač.

    POZNÁMKA:Ovladač je nutné restartovat proto, aby se provedené změny projevily.