16.1 Gennemsyn af rollekataloget

Med handlingenRollekatalog under fanen Roller og ressourcer på Identity Manager-brugergrænsefladen kan du få vist roller, som tidligere er blevet defineret i kataloget. Du kan også bruge den til at oprette nye roller og ændre, slette og tildele eksisterende roller.

16.1.1 Visning af roller

  1. Klik på Rollekatalog på listen over handlinger for Roller og ressourcer.

    Brugerprogrammet åbner en liste over roller, der i øjeblikket er defineret i kataloget.

Filtrering af rollelisten

  1. Klik på knappen Vis filter øverst til højre i visningen Rollekatalog.

  2. Angiv en filterstreng for rollenavnet eller -beskrivelsen, eller vælg et eller flere rolleniveauer eller kategorier i dialogboksen Filtrer.

  3. Klik på Filtrer for at anvende valgkriterierne.

  4. Klik på Nulstil for at fjerne det aktuelle filter.

Indstilling af det maksimale antal roller på en side

  1. Klik på rullelisten Rækker, og vælg det antal rækker, der skal vises på hver side:

Rulning i rollelisten

  1. Hvis du vil rulle til en anden side på rollelisten, skal du klikke på knappen Næste, Forrige, Første eller Sidste nederst på listen:

Sortering af rollelisten

Sådan sorteres rollelisten:

  1. Klik på overskriften for den kolonne, der skal sorteres på.

    Den pyramideformede sorteringsindikator viser, hvilken kolonne der er den nye sorteringskolonne. Når sorteringen er stigende, vises sorteringsindikatoren i normal position med spidsen opad.

    Når sorteringen er faldende, vises indikatoren med spidsen nedad.

    Startsorteringskolonnen fastlægges af administratoren.

Hvis du tilsidesætter startsorteringskolonnen, føjes din sorteringskolonne til listen over obligatoriske kolonner. Obligatoriske kolonner er angivet med en stjerne (*).

Når du ændrer sorteringsrækkefølgen for opgavelisten, gemmes indstillingen i identitetsboksen sammen med dine andre brugerindstillinger.

16.1.2 Oprettelse af nye roller

  1. Klik på knappen Ny øverst i visningen Rollekatalog:

    Brugerprogrammet åbner dialogboksen Ny rolle:

  2. Angiv oplysninger for rolledefinitionen som beskrevet herunder:

    Tabel 16-1 Rolleoplysninger

    Felt

    Beskrivelse

    Vist navn

    Den tekst, der bruges, når rollenavnet vises i brugerprogrammet. Du kan ikke medtage følgende tegn i Vist navn, når du opretter en rolle:

    < > , ; \ " +  # = / | & *

    Du kan oversætte dette navn til alle de sprog, der understøttes i brugerprogrammet. Yderligere oplysninger finder du i Tabel 1-1, Almindelige knapper.

    Beskrivelse

    Den tekst, der bruges, når rollebeskrivelsen vises i brugerprogrammet. Som med Vist navn kan du også oversætte det til alle de sprog, der understøttes i brugerprogrammet. Yderligere oplysninger finder du i Tabel 1-1, Almindelige knapper.

    Rolleniveau

    (Skrivebeskyttet ved ændring af en rolle). Vælg et rolleniveau på rullelisten.

    Rolleniveauer defineres med rollekonfigurationseditoren til Designer til Identity Manager.

    Rolleunderbeholder

    (Skrivebeskyttet ved ændring af en rolle). Placeringen til rolleobjekter i driveren. Rollebeholdere ligger under rolleniveauer. Brugerprogrammet viser kun de rollebeholdere, som ligger under det valgte rolleniveau. Du kan oprette en rolle enten direkte i et rolleniveau eller i en beholder i rolleniveauet. Det er valgfrit at angive rollebeholderen.

    Kategorier

    Kan bruges til at kategorisere roller med henblik på organisering af roller. Kategorier bruges til filtrering af lister over roller. Der kan vælges flere kategorier.

    Ejere

    Brugere, der er angivet som ejere af rolledefinitionen. Når du genererer rapporter i forhold til rollekataloget, kan du filtrere rapporterne med udgangspunkt i rolleejeren. Rolleejeren har ikke automatisk godkendelse til at administrere ændringer af en rolledefinition.

  3. Klik på Gem for at gemme rolledefinitionen.

    Brugerprogrammet åbner flere faner nederst i vinduet, hvor rolledefinitionen kan gøres færdig.

Definition af rollerelationerne

Med fanen Rollerelationer kan du definere, hvordan roller er indbyrdes forbundet i et hierarki med roller på højere og lavere niveauer. Med dette hierarki kan du gruppere tilladelser eller ressourcer, der findes i roller på lavere niveauer, i en rolle på et højere niveau, som gør det nemmere at tildele tilladelser. De tilladte relationer er:

  • Roller på øverste niveau (forretningsroller) kan indeholde roller på lavere niveauer. De kan ikke være indeholdt i andre roller. Hvis du vælger en rolle på øverste niveau, kan du på siden Rollerelationer kun tilføje en rollerelation på lavere niveau (underordnet).

  • Roller på mellemniveau (it-roller) kan indeholde roller på lavere niveau, og de kan være indeholdt i roller på højere niveau. På siden Rollerelationer kan du tilføje enten en rolle på lavere niveau (underordnet) eller en rolle på højere niveau (overordnet).

  • Roller på nederste niveau (tilladelsesroller) kan være indeholdt i roller på højere niveau, men kan ikke indeholde andre roller på nederste niveau. På siden Rollerelationer kan du kun tilføje en rolle på højere niveau.

Sådan defineres en rollerelation:

  1. Klik på fanen Rollerelationer.

  2. Klik på Tilføj.

    Dialogboksen Tilføj rollerelation åbnes.

  3. Indtast tekst, der beskriver relationen, i feltet Beskrivelse af startanmodning.

  4. Angiv den type relation, der skal defineres, ved at vælge typen på rullelisten Rollerelation.

    Hvis den nye rolle er en it-rolle, kan du med rullelisten Rollerelation definere relationen som Underordnet eller Overordnet. Hvis den nye rolle er en forretningsrolle, viser rullelisten Rollerelation skrivebeskyttet tekst, som angiver, at denne relation er underordnet, eftersom kun roller på lavere niveauer kan relateres til en forretningsrolle. Hvis den nye rolle er en tilladelsesrolle, viser rullelisten Rollerelation skrivebeskyttet tekst, som angiver, at denne relation er overordnet, eftersom kun roller på højere niveauer kan relateres til en tilladelsesrolle.

    Listen over tilgængelige roller filtreres i henhold til den valgte type.

  5. Brug objektvælgeren til højre for feltet Valgte roller til at vælge den eller de roller, der skal knyttes til den nye rolle.

  6. Klik på Tilføj.

Tilknytning af ressourcer til rollen

Sådan knyttes en ressource til en rolle:

  1. Klik på fanen Ressourcer.

  2. Klik på Tilføj.

    Brugerprogrammet åbner dialogboksen Tilføj ressourcetilknytning.

  3. Brug objektvælgeren til at vælge den ønskede ressource, og indtast tekst, der beskriver årsagen til tilknytningen.

    Guiden viser en side, som indeholder oplysninger om den valgte ressource, f.eks. navnet på ressourcekategorier, ejer, rettighed og rettighedsværdier.

    For rettigheder, der tager statiske parameterværdier, som angiver yderligere attributter eller detaljerede oplysninger for rettigheden, viser guiden de statiske værdier ud for navnet Rettighedsværdier. For rettigheder, der tager dynamiske parametre, viser guiden ressourceanmodningsformularen, som indeholder felter til de dynamiske parametre, samt felter til støtte for beslutninger, der er defineret for formularen.

  4. Skriv tekst i feltet Tilknytningsbeskrivelse, der beskriver årsagen til, at ressourcen er knyttet til rollen.

  5. Klik på Tilføj for at knytte ressourcen til rollen.

    Listen Ressourcetilknytninger viser den ressource, du har føjet til rolledefinitionen:

    Hvad sker der med eksisterende rolletildelinger? Når du føjer en ny ressourcetilknytning til en rolle, der allerede har tildelte identiteter, starter systemet en ny anmodning for at tildele alle identiteterne ressourcen.

    BEMÆRK!I RBPM-versioner, der er tidligere end Public Patch 401C, ville du se forskellige resultater, hvis en ressource med parametre blev tildelt en bruger via en rolletilknytning i stedet for direkte tildeling til brugeren. Dette var tilfældet i følgende situationer:

    • En ressource, der har en rettighedsparameter, samt en feltparameter, som er defineret under fanen Anmodningsformular, er knyttet til en rolle. Hvis en bruger blev tildelt rollen direkte, via gruppemedlemskab eller ved at være i en beholder, ville den pågældende bruger også blive tildelt ressourcen. Men ressourcetildelingen vil kun have værdien for rettighedsparameteren.

      Dette problem er afhjulpet i Public Patch 401c og i version 4.0.2. Men hvis dine tildelinger blev oprettet i en tidligere version (370, 400 eller før Public 401C), og alle ressourceparametrene skal vises, skal du tilbagekalde brugeren fra rollen og derefter tildele brugeren igen.

    • En ressource, hvor to eller flere felter er defineret under fanen Anmodningsformular, er kun knyttet til en rolle. Hvis en bruger blev tildelt rollen direkte, via gruppemedlemskab eller ved at være i en beholder, vil denne bruger være tildelt ressourcen det samme antal gange som antallet af feltparametre. Brugeren vil med andre ord have én ressourcetildeling for hver feltparameter. Hvis ressourcen blev tildelt direkte, vil brugeren kun have én tildeling med alle de viste parametre.

      Dette problem er afhjulpet i Public Patch 401C og i version 4.0.2. Men hvis dine ressourcetilknytninger blev oprettet i en tidligere version (370, 400 eller før Public Patch 401C), kan du stadig se denne funktionsmåde. Du skal slette ressourcetilknytningen og oprette den igen for at kunne udnytte programrettelsen.

Sådan slettes en ressourcetilknytning for en rolle:

  1. Vælg ressourcetilknytningen på listen Ressourcetilknytninger.

  2. Klik på Fjern.

    Hvad sker der med eksisterende rolletildelinger? Når du fjerner en ressourcetilknytning fra en rolle, der allerede har tildelte identiteter, starter systemet en ny anmodning for at tilbagekalde ressourcen fra alle identiteterne.

Definition af godkendelsesprocessen for en rolle

Sådan defineres godkendelsesprocessen for en rolle:

  1. Klik på fanen Godkendelse.

  2. Angiv oplysninger for godkendelsesprocessen som beskrevet herunder:

    Tabel 16-2 Godkendelsesoplysninger

    Felt

    Beskrivelse

    Godkendelse krævet

    Marker dette afkrydsningsfelt, hvis rollen kræver godkendelse, når der anmodes om den, og når godkendelsesprocessen skal udføre standarddefinitionen til godkendelse af rolletildelingen.

    Fjern markeringen i dette afkrydsningsfelt, hvis rollen ikke kræver godkendelse, når der anmodes om den.

    BEMÆRK!Rollegodkendelser udløses kun for eksplicitte rolle til bruger-tildelinger.

    Brugerdefineret godkendelse

    Marker denne alternativknap, hvis du vil benytte en brugerdefineret godkendelsesdefinition (definition af klargøringsanmodning). Brug Objektvælger til at vælge godkendelsesdefinitionen.

    Standardgodkendelse

    Marker denne alternativknap, hvis rollen bruger den standarddefinition til godkendelse af rolletildeling, der er angivet i konfigurationen af rolle- og ressourceundersystemet. Navnet på godkendelsesdefinitionen vises som skrivebeskyttet i Definition af godkendelse af rolletildeling herunder.

    Du skal vælge godkendelsestypen (Seriel eller Quorum) samt de gyldige godkendere.

    Godkendelsestype

    Vælg Seriel, hvis rollen skal godkendes af alle brugerne på listen Godkendere. Godkenderne behandles sekventielt i den rækkefølge, de vises i på listen.

    Vælg Quorum, hvis rollen skal godkendes af en procentdel af brugerne på listen Godkendere. Godkendelsen er færdig, når den angivne procentdel af brugere er nået.

    Hvis du f.eks. vil have en af fire brugere på listen til at godkende betingelsen, skal du angive Quorum og en procentdel på 25. Du kan også angive 100 %, hvis alle fire godkendere skal godkende sammen. Værdien skal være et heltal mellem 1 og 100.

    TIP:Felterne Seriel og Quorum har tekst, som beskriver deres funktionsmåde, når der peges på dem.

    Godkendere

    Vælg Bruger, hvis rollegodkendelsesopgaven skal tildeles en eller flere brugere. Vælg Gruppe, hvis rollegodkendelsesopgaven skal tildeles en gruppe. Vælg Beholder, hvis rollegodkendelsesopgaven skal tildeles en beholder. Vælg Rolle, hvis rollegodkendelsesopgaven skal tildeles en rolle.

    Brug Objektvælger til at finde en bestemt bruger, gruppe, beholder eller rolle. Oplysninger om at ændre rækkefølgen af godkendere på listen eller fjerne en godkender findes i Afsnit 1.4.4, Almindelige brugerhandlinger.

    Tilbagekaldelse af godkendelse kræves (samme som tildeling af konfiguration)

    Markér dette afkrydsningsfelt, hvis rollen skal godkendes, når den tilbagekaldes.

    Godkendelsesprocessen, der anvendes til anmodninger om rolletilbagekaldelse, samt listen over godkendere er den samme som for anmodninger om rolletildeling. Hvis du har angivet, at godkendelsesprocessen skal udføre definitionen af godkendelse af standardrolletildeling, anvendes denne proces. Du kan alternativt angive en brugerdefineret godkendelsesproces til både anmodninger om rolletildeling og anmodninger om rolletilbagekaldelse. I en brugerdefineret klargøringsanmodning kan du identificere, om handlingen er en tildeling eller tilbagekaldelse og tilpasse godkendelsesprocessen i overensstemmelse hermed.

    Fjern markeringen i dette afkrydsningsfelt, hvis rollen ikke kræver godkendelse, når den tilbagekaldes.

Foretagelse af rolletildelinger

Oplysninger om at foretage rolletildelinger findes i Afsnit 16.1.5, Tildeling af roller.

Kontrol af status for anmodninger

Med handlingen Anmodningsstatus kan du se status for dine anmodninger om rolletildelinger, herunder anmodninger, du har foretaget direkte, samt rolletildelingsanmodninger for grupper eller beholdere, som du tilhører. Du kan bruge det til at få vist hver anmodnings aktuelle tilstand. Du har derudover mulighed for tilbagetrække en anmodning, som endnu ikke er gennemført eller afsluttet, hvis du skifter mening og ikke har brug for at få anmodningen fuldført.

Handlingen Anmodningsstatus viser alle anmodninger om rolletildelinger, herunder tildelinger, som kører, afventer godkendelse, er godkendt, gennemført, afvist eller afsluttet.

Sådan får du vist status for anmodninger om rolletildelinger:

  1. Klik på fanen Anmodningsstatus.

    Anmodningshandling viser, om handlingen var en tildeling eller tilbagekaldelse. Hvis der krævedes en godkendelse, og godkendelsesprocessen ikke er afsluttet, vises status som Ventende godkendelse.

  2. Klik på statussen for at få vist en anmodnings detaljerede statusoplysninger.

    Vinduet Tildelingsoplysninger åbnes:

    Oplysninger om betydningen af statusværdierne findes i Afsnit 10.4, Visning af anmodningsstatus.

  3. Marker en anmodning, og klik på Træk tilbage for at trække anmodningen tilbage.

    Du skal have tilladelse til at trække en anmodning tilbage.

    Hvis anmodningen er gennemført eller afsluttet, vises der en fejlmeddelelse, hvis du forsøger at trække anmodningen tilbage.

16.1.3 Redigering af en eksisterende rolle

  1. Marker en tidligere defineret rolle, og klik på Rediger.

  2. Foretag dine ændringer af rolleindstillingerne, og klik på Gem.

Rettigheder knyttet til eksisterende roller Roller, der er defineret i tidligere versioner af det rollebaserede klargøringsmodul, kan have tilknyttede rettigheder. Hvis en rolle har en tilknyttet rettighed, viser brugergrænsefladen fanen Rettigheder, hvor du kan se rettighedstilknytningen og evt. fjerne den. Rettighedstilknytninger for roller fungerer fortsat i denne version, men Novell anbefaler nu, at du knytter rettigheder til ressourcer i stedet for til roller.

16.1.4 Sletning af roller

  1. Marker en tidligere defineret rolle, og klik på Slet.

    Når du instruerer brugerprogrammet i at slette en rolle, indstilles rollestatus først til Sletning venter. Rolle- og ressourcetjenestedriveren noterer derefter statusændringen og udfører følgende trin:

    • Fjerner ressourcetildelingerne for rollen

    • Sletter selve rollen

    Rolle- og ressourcetjenestedriveren optimerer denne proces. Processen kan dog tage noget tid, afhængigt af antallet af brugere tildelt rollen, fordi rolle- og ressourcedriveren skal sikre, at den ikke fjerner en ressource fra en bruger, hvis vedkommende på anden vis har denne ressource. Hvis rollen forbliver i tilstanden Sletning venter i uforholdsmæssig lang tid, skal du dobbelttjekke driveren for at sikre, at den er aktiv og kørende.

    Når en rolle har status som Sletning venter, kan du ikke redigere, slette eller tildele rollen.

    BEMÆRK!For version 4.0.2 er der føjet en ny attribut med navnet nrfStatus til objektet nrfRole for at administrere rollestatussen. Denne attribut har to tilstande: Oprettet og Sletning venter.

    Hvad sker der med eksisterende rolletildelinger? Hvis du sletter en rolle med en tilknyttet ressource og en eller flere tilknyttede identiteter, fjerner systemet ressourcetildelingen fra hver identitet med den tilknyttede ressource.

    BEMÆRK!Hvis du sletter en rolle, som har en ressource tilknyttet (eller fjerner en bruger fra rollen), fjerner systemet ressourcetildelinger for brugere i den pågældende rolle, også selvom de pågældende ressourcer først blev tildelt direkte. Årsagen til dette er, at systemet formoder, at den seneste autoriserede kilde til en ressourcetildeling er administratoren for den pågældende ressource, som illustreret i følgende scenarie:

    1. En ressource oprettes og knyttes til en rettighed.

    2. En bruger knyttes til den ressource, som er oprettet ovenfor.

    3. Der oprettes en rolle, som er knyttet til den ressource, som er oprettet i trin 1 ovenfor.

    4. Den samme bruger knyttes derefter til den rolle, der er oprettet ovenfor.

    5. Brugeren fjernes fra rollen.

    I dette tilfælde fjernes brugeren fra ressource, selvom ressourcen er tildelt direkte. Som udgangspunkt betragtes ressourcetildelingen som den autoriserede kilde. Men når brugeren knyttes til en rolle, som er associeret med den samme ressource, bliver rollen den autoriserede kilde.

    Sletning af roller i FO-begrænsninger Når en konfliktrolle i en FO-begrænsning slettes, vises FO-begrænsningen med ordet Ugyldig i firkantet parentes efter navnet, f.eks. Læge farmaceut FO [Ugyldig], på listen FO-katalog.

ADVARSEL:En rolleleder, som har fået tildelt tilladelsen Slet rolle til systemrollerne (eller den beholder, som indeholder disse roller), kan slette systemroller. Systemrollerne bør ikke slettes. Hvis en systemrolle slettes, fungerer brugerprogrammet ikke korrekt.

16.1.5 Tildeling af roller

Du kan tildele en rolle på en af to måder:

  • Fra Rollekatalog

  • Fra dialogboksen Rediger rolle

Begge disse metoder er beskrevet herunder.

Tildeling af en rolle fra kataloget

  1. Marker en tidligere defineret rolle i Rollekatalog, og klik på Tildel.

    Brugerprogrammet åbner dialogboksen Tildel rolle:

  2. Udfyld felterne i dialogboksen Tilføj rolletildeling:

    1. Indtast tekst, der beskriver årsagen til anmodningen, i feltet Beskrivelse af startanmodning.

    2. Vælg Bruger, Gruppe eller Beholder i feltet Tildelingstype for at angive, hvilken type identiteter rollen skal tildeles.

    3. Indtast en søgestreng i Objektvælger, og klik på Søg. Vælg de brugere, grupper eller beholdere, du vil tildele.

      Tildeling af en rolle til flere identiteter Du kan vælge en eller flere brugere (eller grupper eller beholdere) til rolletildelingen. Hvis du vælger flere identiteter, modtager alle de valgte identiteter de samme rolletildelingsværdier.

    4. Angiv startdatoen for rolletildelingen i feltet Ikrafttrædelsesdato.

      Du kan indtaste en dato i formatet mm/dd/åååå tt:mm:ss a (hvor a angiver AM eller PM). Du kan også klikke på kalenderikonet og vælge datoen i pop op-vinduet med kalenderen:

    5. Angiv udløbsdatoen for rolletildelingen i feltet Udløbsdato.

      BEMÆRK!Udløbsdatoen gælder kun for brugertildelinger. For grupper og beholdere er feltet Udløbsdato ikke tilgængeligt.

      Klik på Angiv udløb for at angive et udløb. Du kan indtaste en dato i formatet mm/dd/åååå tt:mm:ss a (hvor a angiver AM eller PM). Du kan også klikke på kalenderikonet og vælge datoen i pop op-vinduet med kalenderen.

      Udløbsdatoen er som standard indstillet til Intet udløb, hvilket angiver, at denne rolletildeling er gældende uendeligt.

  3. Klik på Send.

Tildeling af en rolle fra dialogboksen Rediger rolle

  1. Marker en rolle i Rollekatalog, og klik på Rediger for at åbne dialogboksen Rediger rolle.

  2. Klik på fanen Tildelinger.

    Under fanen Tildelinger vises en liste over tildelinger, der er givet til den valgte rolle.

  3. Klik på Tildel for at tilføje en ny tildeling.

    Brugerprogrammet åbner dialogboksen Tildel rolle:

    Oplysninger om at arbejde med anmodningsformularen for rolletildelinger findes i Tildeling af en rolle fra kataloget.

16.1.6 Opdatering af rollelisten

  1. Klik på Opdater.

BEMÆRK!Hvis du opretter en rolletildeling og derefter fjerner den, vises der en meddelelse om, at tildelingen er blevet fjernet, men tildelingen kan stadig blive vist. Hvis du opdaterer siden, vil du kunne se, at tildelingen er blevet fjernet.

16.1.7 Tilpasning af rollelistevisningen

Med Rollekatalog kan du vælge og fravælge kolonner samt ændre rækkefølge på kolonner i opgavelistevisningen. Denne funktionsmåde styres af en indstilling i dialogboksen Tilpas visning af rollekatalog. Når du ændrer kolonnelisten eller ændrer rækkefølge på kolonnerne, gemmes dine tilpasninger i identitetsboksen sammen med dine andre brugerindstillinger.

Sådan tilpasses visningen af kolonner:

  1. Klik på Tilpas i Rollekatalog:

    Brugerprogrammet viser den liste over kolonner, der i øjeblikket er valgt til visningen, og en liste over yderligere kolonner, der kan vælges.

  2. Hvis du vil medtage en ekstra kolonne i visningen, skal du markere kolonnen på listen Tilgængelige kolonner og trække den til listen Valgte kolonner.

    Hvis du vil markere flere kolonner på listen, skal du holde Ctrl nede og markere kolonnerne enkeltvis. Hvis du vil markere en række kolonner, der vises samlet på listen, skal du holde Skift nede og markere kolonnerne.

    Du kan omarrangere kolonnerne i visningen ved at flytte dem op eller ned på listen Valgte kolonner.

  3. Hvis du vil fjerne en kolonne fra visningen, skal du markere kolonnen på listen Valgte kolonner og trække den til listen Tilgængelige kolonner.

    Kolonnen Rollenavn er en obligatorisk kolonne og kan ikke fjernes fra rollelistevisningen.

  4. Klik på Gem for at gemme ændringerne.