15.1 Om Roller og ressourcer

Formålet med fanen Roller og ressourcer er at give dig en brugervenlig måde at udføre rollebaserede klargøringshandlinger på. Med disse handlinger kan du administrere rolledefinitioner og rolletildelinger i organisationen samt ressourcedefinitioner og ressourcetildelinger. Rolletildelinger kan knyttes til ressourcer i en virksomhed, f.eks. brugerkonti, computere og databaser. Ressourcer kan også tildeles brugere direkte. Du kan f.eks. bruge fanen Roller og ressourcer til at:

Oprette rolle- og ressourceanmodninger for dig selv eller andre i organisationen
Oprette roller og rollerelationer i rollehierarkiet
Oprette begrænsninger i funktionsopdelinger (FO) for at administrere potentielle konflikter mellem rolletildelinger
Se på rapporter med oplysninger om rollekatalogets aktuelle tilstand og de roller, der i øjeblikket er tildelt brugere, grupper og beholdere

Når en rolle- eller ressourceanmodningstildeling kræver tilladelse fra en eller flere personer i en organisation, starter anmodningen et workflow. Dette workflow koordinerer de godkendelser, der er nødvendige for at fuldføre anmodningen. Nogle tildelingsanmodninger kræver godkendelse fra én person, mens andre igen kræver godkendelse fra flere personer. I nogle tilfælde kan en anmodning fuldføres uden godkendelser.

BEMÆRK!Rollegodkendelser udløses kun for eksplicitte rolle til bruger-tildelinger.

Når en anmodning om rolletildeling medfører en potentiel konflikt i funktionsopdelinger, har initiativtageren mulighed for at tilsidesætte begrænsningen i funktionsopdelinger og angive en berettigelse for at gøre en undtagelse til begrænsningen. I nogle tilfælde kan en konflikt i funktionsopdelinger medføre, at der startes et workflow. Workflowet koordinerer de godkendelser, der er nødvendige for at lade undtagelsen til funktionsopdelingerne træde i kraft.

Workflowdesigneren og systemadministratoren er ansvarlige for at konfigurere indholdet under fanen Roller og ressourcer for dig og andre i organisationen. Sammensætningen af kontroller i et workflow samt formularernes udseende kan variere afhængigt af, hvordan godkendelsesdefinitionen for workflowet blev defineret i Designer til Identity Manager. Hvad du kan se og gøre, bestemmes derudover typisk af dine jobkrav og dit tilladelsesniveau.

15.1.1 Om roller

Dette afsnit indeholder en oversigt over de termer og koncepter, der bruges under fanen Roller og ressourcer:

Roller og rolletildelinger

En rolle definerer et sæt tilladelser, der er relateret til et eller flere målsystemer eller -programmer. Med fanen Roller og ressourcer kan brugere anmode om rolletildelinger, som er tilknytninger mellem en rolle og en bruger, gruppe eller beholder. Med fanen Roller og ressourcer kan du også definere rollerelationer, som fastlægger tilknytninger mellem roller i rollehierarkiet.

En bruger kan tildeles roller direkte, og i dette tilfælde giver disse direkte tildelinger en bruger udtrykkelig adgang til de tilladelser, der er knyttet til rollen. Du kan også definere indirekte tildelinger, som giver brugere mulighed for at få roller via medlemskab af en gruppe, beholder eller relateret rolle i rollehierarkiet.

BEMÆRK!Rollegodkendelser udløses kun for eksplicitte rolle til bruger-tildelinger.

Når du anmoder om en rolletildeling, har du mulighed for at definere en ikrafttrædelsesdato for rolletildelingen, som angiver den dato og det klokkeslæt, tildelingen træder i kraft. Hvis du ikke angiver noget her, betyder det, at tildelingen er øjeblikkelig.

Du kan også definere en udløbsdato for rolletildelingen, som angiver den dato og det klokkeslæt, tildelingen automatisk fjernes.

Når en bruger anmoder om en rolletildeling, administrerer rolle- og ressourceundersystemet rolleanmodningens levetid. Hvis du vil have vist, hvilke handlinger der er udført på anmodningen af brugere eller selve undersystemet, kan du kontrollere status for anmodningen under fanen Anmodningsstatus i Rollekatalog.

Rollekatalog og rollehierarki

Før brugere kan begynde at tildele roller, skal disse roller være defineret i rollekataloget. Rollekataloget er lageret til alle rolledefinitioner og støttedata, der skal bruges af rolle- og ressourceundersystemet. Med henblik på at konfigurere rollekataloget definerer en rollemoduladministrator (eller rolleleder) rollerne og rollehierarkiet.

Rollehierarkiet fastlægger relationer mellem roller i kataloget. Ved at definere rollerelationer kan du forenkle opgaven med at tildele tilladelser via rolletildelinger. I stedet for at tildele 50 separate medicinske roller, hver gang en læge begynder i organisationen, kan du f.eks. definere en lægerolle og angive en rollerelation mellem lægerollen og hver af de medicinske roller. Ved at tildele brugere lægerollen kan du give disse brugere de tilladelser, som er defineret for hver af de relaterede medicinske roller.

Rollehierarkiet understøtter tre niveauer. Roller, der er defineret på det højeste niveau (kaldet forretningsroller), definerer handlinger, som har forretningsmæssig betydning i organisationen. Roller på mellemniveau (kaldet it-roller) understøtter teknologifunktioner. Roller, der er defineret på det laveste niveau i hierarkiet (kaldet tilladelsesroller), definerer rettigheder på lavere niveau. Følgende eksempel viser et rollehierarki med tre niveauer for en medicinsk organisation. Hierarkiets højeste niveau findes til venstre og det laveste til højre:

Figur 15-1 Eksempel på rollehierarki

En rolle på et højere niveau indeholder automatisk rettigheder fra de roller på et lavere niveau, som den indeholder. En forretningsrolle indeholder f.eks. automatisk rettigheder fra de it-roller, den indeholder. På samme måde indeholder en it-rolle automatisk rettigheder fra de tilladelsesroller, den indeholder.

Rollerelationer er ikke tilladt mellem sideordnede roller i hierarkiet. Roller på lavere niveau kan derudover ikke indeholde roller på højere niveau.

Når du definerer en rolle, kan du evt. angive en eller flere ejere til denne rolle. En rolleejer er en bruger, der er angivet som ejer af rolledefinitionen. Når du genererer rapporter i forhold til rollekataloget, kan du filtrere disse rapporter med udgangspunkt i rolleejeren. Rolleejeren har ikke automatisk godkendelse til at administrere ændringer af en rolledefinition. I nogle tilfælde skal ejeren anmode en rolleadministrator om at udføre administrationshandlinger på rollen.

Når du definerer en rolle, kan du evt. knytte rollen til en eller flere kategorier. Med en rollekategori kan du kategorisere roller med det formål at organisere rollesystemet. Når en rolle er blevet knyttet til en kategori, kan du bruge denne kategori som et filter, når du gennemser rollekataloget.

Hvis en rolletildelingsanmodning kræver godkendelse, angiver rolledefinitionen oplysninger om den workflowproces, der er anvendt til at koordinere godkendelser, samt listen over godkendere. Godkenderne er de personer, som kan godkende eller afvise en anmodning om rolletildeling.

Funktionsopdelinger

En nøglefunktion i rolle- og ressourceundersystemet er muligheden for at definere begrænsninger i funktionsopdelinger (FO). En begrænsning i funktionsopdelinger (FO) er en regel, som definerer to roller, der anses for at være i konflikt med hinanden. Rolleadministratoren/rollestyringen opretter begrænsninger i form af adskillelse af opgaver for en organisation. Ved at definere FO-begrænsninger kan de forhindre brugere i at blive tildelt roller, der er i konflikt, eller opretholde et overvågningsspor for at holde styr på situationer, hvor overtrædelser er blevet tilladt. I en begrænsning i funktionsopdelinger skal konfliktrollerne være på samme niveau i rollehierarkiet.

Nogle begrænsninger i funktionsopdelinger kan tilsidesættes uden godkendelse, hvorimod andre kræver godkendelse. Konflikter, som er tilladt uden godkendelse, kaldes for overtrædelser af funktionsopdelinger. Konflikter, der er godkendt, kaldes for godkendte undtagelser til funktionsopdelinger. Rolle- og ressourceundersystemet kræver ikke godkendelser for FO-overtrædelser, der er et resultat af indirekte tildelinger, f.eks. medlemskab af en gruppe eller beholder, eller rollerelationer.

Hvis en konflikt i funktionsopdelinger kræver godkendelse, angiver begrænsningsdefinitionen oplysninger om den workflowproces, der er anvendt til at koordinere godkendelser, samt listen over godkendere. Godkenderne er de personer, som kan godkende eller afvise en FO-undtagelse. En standardliste defineres som en del af rolle- og ressourceundersystemets konfiguration. Denne liste kan dog tilsidesættes i definitionen af en FO-begrænsning.

Rollerapportering og -overvågning

Rolle- og ressourceundersystemet indeholder en avanceret rapporteringsfunktion som hjælp til kontrollanter ved analyse af rollekataloget samt den aktuelle tilstand for rolletildelinger og FO-begrænsninger, -overtrædelser og -undtagelser. Med rollerapporteringsfunktionen kan rollekontrollanter og rollemoduladministratorer få vist følgende typer rapporter i PDF-format:

Rapport over rollelister
Rapport over rolletildelinger
Rapport over FO-begrænsninger
Rapport over FO-overtrædelser og -undtagelser
Rapport over brugerroller
Rapport over brugerrettigheder

Ud over at levere oplysninger via rapporteringsfunktionen kan rolle- og ressourceundersystemet konfigureres til at logføre hændelser til Novell- eller OpenXDAS-overvågningsklienter.

Rollesikkerhed

Rolle- og ressourceundersystemet bruger et sæt systemroller til at sikre adgangen til funktioner under fanen Roller og ressourcer. Hver menuhandling under fanen Roller og ressourcer er knyttet til en eller flere af systemrollerne. Hvis en bruger ikke er medlem af en af de roller, der er knyttet til en handling, vises det tilsvarende menupunkt ikke under fanen Roller og ressourcer.

Systemrollerne er administrative roller, som automatisk defineres af systemet på installationstidspunktet med henblik på uddelegeret administration. De omfatter følgende:

Rolleadministrator
Rolleleder

Systemrollerne beskrives mere detaljeret nedenfor:

Tabel 15-1 Systemroller

Rolle	Beskrivelse
Rolleadministrator	En systemrolle, der giver medlemmer mulighed for at oprette, fjerne eller ændre alle roller og tildele eller tilbagekalde rolletildelinger for en vilkårlig bruger, gruppe eller beholder. Med denne rolle kan medlemmer også køre en vilkårlig rapport for en vilkårlig bruger. En person i denne rolle kan udføre følgende funktioner i brugerprogrammet i ubegrænset omfang: Oprette, fjerne og ændre roller. Ændre rollerelationer for roller. Anmode om tildeling af brugere, grupper eller beholdere til roller. Oprette, fjerne og ændre FO-begrænsninger. Gennemse rollekataloget Konfigurere rolle- og ressourceundersystemet. Få vist status for alle anmodninger. Trække anmodninger om rolletildelinger tilbage. Køre samtlige rapporter.
Rolleleder	En systemrolle, som giver medlemmer mulighed for at ændre roller og rollerelationer og tildele eller tilbagekalde tildelinger for brugere. En person i denne rolle kan udføre følgende funktioner i brugerprogrammet og er begrænset i omfang af gennemsynsrettigheder til rolleobjekterne: Oprette nye roller og ændre eksisterende roller, som brugeren har gennemsynsrettigheder til. Ændre rollerelationer for roller, som brugeren har gennemsynsrettigheder til. Anmode om tildeling af brugere, grupper eller beholdere til roller, som brugeren har gennemsynsrettigheder til. Gennemse rollekataloget (begrænset i omfang af gennemsynsrettigheder). Gennemse anmodninger om rolletildelinger for brugere, grupper og beholdere (begrænset i omfang af gennemsynsrettigheder til rolle-, bruger-, gruppe- og beholderobjekter). Trække anmodninger om rolletildelinger tilbage for brugere, grupper og beholdere (begrænset i omfang af gennemsynsrettigheder til rolle-, bruger-, gruppe- og beholderobjekter).

Rolle

Beskrivelse

Rolleadministrator

En systemrolle, der giver medlemmer mulighed for at oprette, fjerne eller ændre alle roller og tildele eller tilbagekalde rolletildelinger for en vilkårlig bruger, gruppe eller beholder. Med denne rolle kan medlemmer også køre en vilkårlig rapport for en vilkårlig bruger. En person i denne rolle kan udføre følgende funktioner i brugerprogrammet i ubegrænset omfang:

Oprette, fjerne og ændre roller.
Ændre rollerelationer for roller.
Anmode om tildeling af brugere, grupper eller beholdere til roller.
Oprette, fjerne og ændre FO-begrænsninger.
Gennemse rollekataloget
Konfigurere rolle- og ressourceundersystemet.
Få vist status for alle anmodninger.
Trække anmodninger om rolletildelinger tilbage.
Køre samtlige rapporter.

Rolleleder

En systemrolle, som giver medlemmer mulighed for at ændre roller og rollerelationer og tildele eller tilbagekalde tildelinger for brugere. En person i denne rolle kan udføre følgende funktioner i brugerprogrammet og er begrænset i omfang af gennemsynsrettigheder til rolleobjekterne:

Oprette nye roller og ændre eksisterende roller, som brugeren har gennemsynsrettigheder til.
Ændre rollerelationer for roller, som brugeren har gennemsynsrettigheder til.
Anmode om tildeling af brugere, grupper eller beholdere til roller, som brugeren har gennemsynsrettigheder til.
Gennemse rollekataloget (begrænset i omfang af gennemsynsrettigheder).
Gennemse anmodninger om rolletildelinger for brugere, grupper og beholdere (begrænset i omfang af gennemsynsrettigheder til rolle-, bruger-, gruppe- og beholderobjekter).
Trække anmodninger om rolletildelinger tilbage for brugere, grupper og beholdere (begrænset i omfang af gennemsynsrettigheder til rolle-, bruger-, gruppe- og beholderobjekter).

Godkendt bruger

Ud over at støtte systemrollerne giver rolle- og ressourceundersystemet også adgang for godkendte brugere. En godkendt bruger er en bruger, der er logget på brugerprogrammet, og som ikke har nogen særlige rettigheder via medlemskab af en systemrolle. En typisk godkendt bruger kan udføre følgende funktioner:

Få vist alle roller, der er tildelt brugeren.
Anmode om tildeling (kun for sig selv) til roller, som vedkommende har gennemsynsrettigheder til.
Få vist anmodningsstatus for de anmodninger, som vedkommende enten er anmoder eller modtager for.
Trække anmodninger om rolletildelinger tilbage for de anmodninger, som vedkommende både er anmoder og modtager for.

Driver til rolle- og ressourcetjeneste

Rolle- og ressourceundersystemet bruger driveren til rolle- og ressourcetjenesten til at administrere back-end-behandling af roller. Driveren administrerer f.eks. alle rolletildelinger, starter workflows for anmodninger om rolletildelinger og FO-konflikter, der kræver godkendelse, og vedligeholder indirekte rolletildelinger i henhold til gruppe- og beholdermedlemskab samt medlemskab af relaterede roller. Driveren tildeler og tilbagekalder endvidere rettigheder for brugere baseret på deres rollemedlemskaber og udfører oprydningsprocedurer for anmodninger, der er fuldført.

Hvad sker der, når rettigheder ændres for en ressource? Hvis du ændrer rettigheden for en eksisterende ressource, tildeler driveren ikke den nye rettighed for brugere, som i øjeblikket er tildelt ressourcen. Hvis den nye rettighed skal tildeles, skal du fjerne og tildele ressourcen igen til de brugere, som har behov for rettigheden.

Du kan finde detaljer om rolle- og ressourcetjenestedriveren i NetIQ Identity Manager - Administrator’s Guide to the Identity Applications (NetIQ Identity Manager – Administratorvejledning til identitetsprogrammerne).

15.1.2 Om ressourcer

Dette afsnit indeholder en oversigt over termer og koncepter, der bruges i brugerprogrammet i forbindelse med ressourcestyring.

Om ressourcebaseret klargøring

Formålet med ressourcefunktionaliteten i brugerprogrammet er at give dig en brugervenlig måde at udføre ressourcebaserede klargøringshandlinger på. Med disse handlinger kan du administrere ressourcedefinitioner og ressourcetildelinger i organisationen. Ressourcetildelinger kan knyttes til brugere eller roller i en virksomhed. Du kan f.eks. bruge ressourcer til at:

Foretage ressourceanmodninger for dig selv eller andre i organisationen
Oprette ressourcer og knytte dem til rettigheder

Når en anmodning om ressourcetildeling kræver tilladelse fra en eller flere personer i en organisation, starter anmodningen et workflow. Dette workflow koordinerer de godkendelser, der er nødvendige for at fuldføre anmodningen. Nogle anmodninger om ressourcetildeling kræver godkendelse fra én person, mens andre igen kræver godkendelse fra flere personer. I nogle tilfælde kan en anmodning fuldføres uden godkendelser.

Følgende forretningsregler styrer ressourcers funktionsmåde i brugerprogrammet:

Ressourcer kan kun tildeles en bruger. Det udelukker ikke, at en ressource tildeles brugere i en beholder eller gruppe baseret på implicit rolletildeling. Men rolletildelingen vil kun blive knyttet til en bruger.
Ressourcer kan tildeles på følgende måder:
- Direkte af en bruger via brugergrænseflademekanismer
- Via en klargøringsanmodning
- Via en anmodning om rolletildeling
- Via en Rest- eller SOAP-grænseflade
Den samme ressource kan tildeles en bruger flere gange (hvis denne mulighed er aktiveret i ressourcedefinitionen).
En ressourcedefinition kan højst have én rettighed bundet til den.
En ressourcedefinition kan have en eller flere identiske rettighedsreferencer bundet til den. Denne funktionalitet understøtter rettigheder, hvor rettighedsparametrene repræsenterer konti eller tilladelser på det tilsluttede system, der kan klargøres.
Parametre for rettigheder og beslutningssupport kan angives på designtidspunktet (statisk) eller på anmodningstidspunktet (dynamisk).

Workflowdesigneren og systemadministratoren er ansvarlige for at konfigurere brugerprogrammet for dig og andre i organisationen. Sammensætningen af kontroller i et ressourcebaseret workflow samt formularernes udseende kan variere afhængigt af, hvordan godkendelsesdefinitionen for workflowet blev defineret i Designer til Identity Manager. Hvad du kan se og gøre, bestemmes derudover typisk af dine jobkrav og dit tilladelsesniveau.

Ressourcer

En ressource er en vilkårlig digital enhed som f.eks. en brugerkonto, computer eller database, som en forretningsbruger har behov for at kunne få adgang til. Brugerprogrammet gør det nemt for slutbrugere at anmode om de ressourcer, de skal bruge. Det indeholder derudover værktøjer, som administratorer kan bruge til at definere ressourcer.

Hver ressource knyttes til en rettighed. En ressourcedefinition kan højst have én rettighed bundet til den. En ressourcedefinition kan være bundet til den samme rettighed mere end én gang, med forskellige rettighedsparametre for hver ressource.

Ressourceanmodninger

Ressourcer kan kun tildeles brugere. De kan ikke tildeles grupper eller beholdere. Hvis en rolle er tildelt en gruppe eller beholder, kan brugerne i gruppen eller beholderen dog automatisk få tildelt adgang til de ressourcer, der er knyttet til rollen.

Ressourceanmodninger kan kræve godkendelser. Godkendelsesprocessen for en ressource kan håndteres af en definition af klargøringsanmodning eller af et eksternt system ved at indstille statuskoden på ressourceanmodningen.

Hvis en anmodning om ressourcetildeling startes af en rolletildeling, er det muligt, at ressourcen ikke tildeles, selvom rollen er klargjort. Den mest sandsynlige årsag til dette vil være, at de nødvendige godkendelser ikke blev givet.

En ressourceanmodning kan tildele en bruger en ressource eller tilbagekalde en ressource fra en bruger.

Driver til rolle- og ressourcetjeneste

Brugerprogrammet anvender driveren til rolle- og ressourcetjenesten til at administrere back-end-behandling af ressourcer. Den administrerer f.eks. alle ressourceanmodninger, starter workflows for ressourceanmodninger og starter klargøringsprocessen for ressourceanmodninger.