15.1 О ролях и ресурсах

Назначение вкладки Роли и ресурсы — сделать более удобным выполнение операций по обеспечению правами доступа с учетом ролей. Эти разделы позволяют управлять определениями ролей и назначениями ролей в Вашей организации, а также определениями ресурсов и назначениями ресурсов. Назначения ролей в масштабах компании можно сопоставить ресурсам, например учетным записям пользователей, компьютерам и базам данных. Иначе говоря, ресурсы могут напрямую назначаться пользователям. Например, на вкладке Роли и ресурсы можно выполнять следующие действия:

создание запросов о ролях и ресурсах для себя или других пользователей в пределах Вашей организации;
создание ролей и отношений между ними в пределах иерархии ролей;
создание ограничений разделения обязанностей (SoD) для управления возможными конфликтами между назначениями ролей;
просмотр отчетов, содержащих сведения о текущем состоянии каталога ролей и о ролях, назначенных в данный момент пользователям, группам и контейнерам.

Если запрос на назначение роли или ресурса требует разрешения одного или нескольких должностных лиц предприятия, запускается рабочий процесс. Рабочий процесс координирует подтверждения, необходимые для выполнения запроса. Некоторые запросы о назначениях требуют подтверждения одним должностным лицом; другие — подтверждения несколькими должностными лицами. В некоторых случаях запрос может быть выполнен без каких-либо подтверждений.

ПРИМЕЧАНИЕ.Подтверждения ролей включаются только для явных назначений роли пользователю.

Если в результате выполнения запроса назначения роли может возникнуть потенциальный конфликт разделения обязанностей, у инициатора запроса есть возможность переопределить ограничение на разделение обязанностей и предоставить обоснование тому, чтобы для ограничения было сделано исключение. В некоторых случаях конфликт разделения обязанностей может стать причиной запуска рабочего процесса. Рабочий процесс координирует подтверждения, необходимые для того, чтобы разрешить использование исключения в разделении обязанностей.

За настройку содержания вкладки Роли и ресурсы для Вас и других сотрудников предприятия отвечают проектировщик рабочего процесса и системный администратор. Схема управления для рабочего процесса, как и внешний вид форм, могут варьироваться в зависимости от того, как определение подтверждения для рабочего процесса было сформулировано в модуле "Проектировщик для Identity Manager". Кроме того, то, что пользователь может видеть и делать, обычно определяется его должностными обязанностями и уровнем полномочий.

15.1.1 О ролях

Раздел содержит обзор терминов и понятий, используемых на вкладке Роли и ресурсы:

Роли и назначения ролей

Роль определяет набор полномочий, связанных с одним или несколькими целевыми системами или приложениями. Вкладка Роли и ресурсы позволяет пользователям запрашивать назначения роли, которые представляют собой связь между ролью и пользователем, группой или контейнером. Вкладка Роли и ресурсы позволяет также определять отношения ролей, т. е. устанавливать связи между ролями в иерархии ролей.

Вы можете назначить пользователю роль непосредственно, в этом случае прямые назначения предоставляют пользователю явный доступ к полномочиям, связанным с ролью. Вы также можете определить косвенные назначения, когда пользователи получают роли благодаря своей принадлежности к группе, контейнеру или связанной роли в иерархии ролей.

ПРИМЕЧАНИЕ.Подтверждения ролей включаются только для явных назначений роли пользователю.

При запросе назначения роли у Вас есть возможность определить дату вступления в действие, которая указывает дату и время вступления назначения в силу. Если оставить данное значение пустым, это будет означать, что требуется немедленное назначение.

Вы можете также определить дату окончания срока действия, которая указывает дату и время автоматической отмены назначения.

Когда пользователь запрашивает назначение роли, подсистема "Роли и ресурсы" управляет жизненным циклом запроса о роли. Чтобы увидеть, какие действия по запросу были предприняты пользователями или подсистемой ролей, можно проверить состояние запроса на вкладке Состояние запроса в Каталоге ролей.

Каталог ролей и иерархия ролей

Прежде чем пользователи смогут назначать роли, эти роли должны быть определены в Каталоге ролей. Каталог ролей — это хранилище всех определений ролей и вспомогательных данных, необходимых подсистеме "Роли и ресурсы". Чтобы настроить Каталог ролей, администратор модуля ролей (или менеджер ролей) определяет роли и их иерархию.

Иерархия ролей устанавливает отношения между ролями справочника. Определяя отношения ролей, вы можете упростить задачу предоставления полномочий при назначении ролей. Например, вместо назначения 50 отдельных медицинских ролей всякий раз, когда сотрудником Вашей организации становится новый врач, вы можете определить роль "Врач" и указать отношение между ролью "Врач" и каждой из медицинских ролей. Назначая пользователям роль "Врач", Вы сможете предоставлять им полномочия, предусмотренные каждой из связанных медицинских ролей.

Иерархия ролей поддерживает три уровня. Роли, определенные на самом верхнем уровне (они называются бизнес-ролями), задают операции, имеющие смысл для бизнеса в рамках организации. Роли среднего уровня (или ИТ-роли) поддерживают технологические функции. Роли, определенные на самом нижнем уровне (это роли-разрешения), задают привилегии низкого уровня. Следующий пример демонстрирует образец иерархии ролей с тремя уровнями для медицинской организации. Самый верхний уровень иерархии показан слева, а самый нижний — справа:

Рисунок 15-1 Образец иерархии ролей

Роль более высокого уровня автоматически включает в себя привилегии ролей нижележащих уровней, которые она содержит. Например, бизнес-роль автоматически включает привилегии ИТ-ролей, которые она содержит. Аналогично, ИТ-роль автоматически включает привилегии ролей-разрешений, которые входят в ее состав.

Отношения между ролями одного уровня не допускаются. Кроме того, роли более низкого уровня не могут содержать роли более высокого уровня.

Определяя роль, Вы можете, при необходимости, назначить ей одного или нескольких владельцев. Владелец роли — это пользователь, назначенный владельцем определения роли. При формировании отчетов, связанных со справочником ролей, можно использовать фильтр с учетом владельца роли. Владелец роли не получает автоматически права на внесение изменений в определение роли. В некоторых случаях владелец должен запросить администратора ролей выполнить какие-либо административные действия в отношении роли.

Определяя роль, Вы можете, при необходимости, связать ее с одной или несколькими категориями ролей. Категория ролей позволяет систематизировать роли с целью организации системы ролей. После установления связи роли с категорией Вы можете использовать эту категорию как фильтр при просмотре справочника ролей.

Если запрос на назначение роли требует утверждения, в определении роли приводится подробное описание рабочего процесса, который используется для координации утверждений, а также список утверждающих. Утверждающие — это пользователи, имеющие право утвердить или отклонить запрос на назначение роли.

Разделение обязанностей

Ключевая особенность подсистемы ролей и ресурсов — ее способность определять ограничения разделения обязанностей (SoD). Ограничение разделения обязанностей (SoD) — это правило, определяющее две роли, которые рассматриваются как конфликтующие. Администратор или менеджер ролей создает ограничения разделения обязанностей для организации. Определяя ограничения разделения обязанностей, эти сотрудники могут предотвратить назначение пользователям конфликтующих ролей или обеспечить аудиторскую трассировку для отслеживания ситуаций, когда нарушения были санкционированы. Ограничение разделения обязанностей требует, чтобы конфликтующие роли находились на одном уровне иерархии ролей.

Некоторые ограничения разделения обязанностей можно переопределить без утверждения, тогда как другим оно необходимо. Конфликты, санкционированные без утверждения, называются нарушениями разделения обязанностей. Утвержденные конфликты называютсяисключениями разделения обязанностей. Подсистема ролей и ресурсов не требует утверждений для нарушений SoD, возникших в результате косвенных назначений ролей, например благодаря принадлежности к группе или контейнеру либо отношению ролей.

Если ограничение разделения обязанностей требует утверждения, в определении ограничения приводится подробное описание рабочего процесса, который используется для координации утверждений, а также список утверждающих. Утверждающие — это пользователи, имеющие право утвердить или отклонить исключение SoD. Список по умолчанию определяется как составная часть конфигурации подсистемы ролей и ресурсов. Однако в ограничении SoD этот список можно переопределить.

Отчеты и аудит ролей

Подсистема ролей и ресурсов предоставляет широкие возможности для формирования отчетности, чтобы помочь аудиторам при анализе каталога ролей и текущего состояния назначения ролей, а также ограничений, нарушений и исключений SoD. Средство отчетности для ролей позволяет аудиторам ролей и администраторам модуля ролей отобразить в формате PDF следующие типы отчетов:

Отчет по списку ролей
Отчет о назначении ролей
Отчет об ограничениях SoD
Отчет о нарушениях и исключениях SoD
Отчет о пользовательских ролях
Отчет о полномочиях пользователей

В дополнение к информационному обеспечению через отчетность подсистема ролей и ресурсов может быть настроена для ведения протокола событий клиентов Novell или OpenXDAS.

Безопасность ролей

Для обеспечения безопасного доступа к функциям в рамках вкладки Роли и ресурсы подсистема ролей и ресурсов использует набор системных ролей. Каждое действие меню на вкладке Роли и ресурсы сопоставлено одной или нескольким системным ролям. Если пользователь не имеет отношения к одной из ролей, связанных с действием, то на вкладке Роли и ресурсы соответствующий элемент меню показываться не будет.

Системные роли — это административные роли, которые автоматически определяются во время установки с целью обеспечения делегирования административных функций. В них входят следующие элементы:

Администратор ролей
Менеджер ролей

Ниже приводится подробное описание системных ролей:

Таблица 15-1 Системные роли

Роль	Описание
Администратор ролей	Системная роль, позволяющая участникам создавать, удалять или изменять все роли, а также предоставлять или отзывать назначение любых ролей любому пользователю, группе или контейнеру. Кроме того, эта роль позволяет участникам формировать любой отчет для любого пользователя. Пользователю, которому назначена эта роль, доступно неограниченное выполнение следующих функций User Application: Создание, удаление и изменение ролей. Изменение отношений для ролей. запрос на назначение ролей пользователям, группам или контейнерам. Создание, удаление и изменение ограничений SoD. Просмотр справочника ролей. Настройка подсистемы ролей и ресурсов. Просмотр состояния всех запросов. Отзыв запросов назначения ролей. Формирование любых отчетов.
Менеджер ролей	Системная роль, позволяющая участникам изменять роли и отношения ролей, а также предоставлять или отзывать назначение ролей пользователям. Пользователь с этой ролью может выполнять следующие функции User Application, ограниченные рамками прав на просмотр каталога для объектов роли: Создавать новые и изменять существующие роли, для которых у пользователя есть права на просмотр. Изменять отношения ролей, для которых у пользователя есть права на просмотр. Запрашивать для пользователей, групп или контейнеров назначение ролей, для которых у пользователя есть права на просмотр. Просматривать справочник ролей (с ограничениями, определяемыми правами на просмотр). Просматривать запросы назначения ролей для пользователей, групп или контейнеров (с ограничениями, определяемыми правами на просмотр каталога для объектов роли, пользователя, группы или каталога). Отзывать запросы назначения ролей для пользователей, групп или контейнеров (с ограничениями, определяемыми правами на просмотр каталога для объектов роли, пользователя, группы или каталога).

Роль

Описание

Администратор ролей

Системная роль, позволяющая участникам создавать, удалять или изменять все роли, а также предоставлять или отзывать назначение любых ролей любому пользователю, группе или контейнеру. Кроме того, эта роль позволяет участникам формировать любой отчет для любого пользователя. Пользователю, которому назначена эта роль, доступно неограниченное выполнение следующих функций User Application:

Создание, удаление и изменение ролей.
Изменение отношений для ролей.
запрос на назначение ролей пользователям, группам или контейнерам.
Создание, удаление и изменение ограничений SoD.
Просмотр справочника ролей.
Настройка подсистемы ролей и ресурсов.
Просмотр состояния всех запросов.
Отзыв запросов назначения ролей.
Формирование любых отчетов.

Менеджер ролей

Системная роль, позволяющая участникам изменять роли и отношения ролей, а также предоставлять или отзывать назначение ролей пользователям. Пользователь с этой ролью может выполнять следующие функции User Application, ограниченные рамками прав на просмотр каталога для объектов роли:

Создавать новые и изменять существующие роли, для которых у пользователя есть права на просмотр.
Изменять отношения ролей, для которых у пользователя есть права на просмотр.
Запрашивать для пользователей, групп или контейнеров назначение ролей, для которых у пользователя есть права на просмотр.
Просматривать справочник ролей (с ограничениями, определяемыми правами на просмотр).
Просматривать запросы назначения ролей для пользователей, групп или контейнеров (с ограничениями, определяемыми правами на просмотр каталога для объектов роли, пользователя, группы или каталога).
Отзывать запросы назначения ролей для пользователей, групп или контейнеров (с ограничениями, определяемыми правами на просмотр каталога для объектов роли, пользователя, группы или каталога).

Пользователь, проверенный на подлинность

Помимо поддержки системных ролей, подсистема ролей и ресурсов обеспечивает также доступ пользователям, проверенным на подлинность. Пользователь, проверенный на подлинность, — это пользователь, зарегистрировавшийся в User Application, но не имеющий каких-либо специальных привилегий системной роли. Обычный пользователь, проверенный на подлинность, может выполнять любые из следующих функций:

Просматривать все назначенные ему роли.
Запрашивать назначение (только для себя) ролей, для которых у него или у нее есть права на просмотр.
Просматривать состояние тех запросов, для которых он или она являются инициатором или получателем.
Отзывать те запросы назначения ролей, для которых он или она являются одновременно и инициатором, и получателем.

Драйвер сервиса ролей и ресурсов

Для управления фоновой обработкой ролей подсистема ролей и ресурсов использует драйвер службы ролей и ресурсов. Например, он управляет всеми назначениями ролей, запускает рабочие процессы для запросов назначения ролей и конфликтов SoD, требующих утверждения, обслуживает косвенные назначения ролей в соответствии с принадлежностью к группе или контейнеру, а также к связанным ролям. Кроме того, драйвер предоставляет и отзывает полномочия пользователей с учетом их отношений к ролям, а также выполняет процедуры очистки для выполненных запросов.

Что происходит при изменении политик наделения правами на ресурс При изменении политик наделения правами на существующий ресурс драйвер не предоставляет новых политик пользователям, которым этот ресурс назначен в данный момент. Для предоставления новых политик наделения ресурсами необходимо удалить ресурс и переназначить его тем пользователям, которых следует наделить правами.

Дополнительные сведения о драйвере сервиса ролей и ресурсов см. в документе NetIQ Identity Manager — руководство администратора приложений Identity.

15.1.2 О ресурсах

В разделе представлен обзор терминов и понятий, используемых User Application для управления ресурсами.

Об обеспечении правами доступа, основанном на ресурсах

Цель функций User Application, связанных с ресурсами, в том, чтобы предоставить Вам удобный способ выполнения операций над ресурсами. Эти операции позволяют управлять определениями и назначениями ресурсов на Вашем предприятии. Назначения ресурсов можно сопоставлять пользователям или ролям внутри компании. Например, можно использовать ресурсы для:

Создания запросов о ресурсах для себя или других пользователей в организации
Создания ресурсов и их сопоставления наделению правами

Если запрос о назначении ресурса требует разрешения одного или нескольких должностных лиц предприятия, запускается рабочий процесс. Рабочий процесс координирует подтверждения, необходимые для выполнения запроса. Некоторые запросы о назначениях ресурсов требуют подтверждения одним должностным лицом; другие — подтверждения несколькими должностными лицами. В некоторых случаях запрос может быть выполнен без каких-либо подтверждений.

Поведением ресурсов в User Application управляют следующие бизнес-правила:

Ресурсы могут назначаться только пользователю. Это не мешает выделению ресурсов контейнеру или группе на основе неявного назначения ролей. Однако назначение ресурсов может быть связано только с пользователем.
Ресурсы могут назначаться только следующими способами:
- Непосредственно через интерфейс пользователя.
- Через запрос на обеспечение правами доступа.
- Через запрос о назначении роли.
- Через остальные средства интерфейса SOAP.
Один и тот же ресурс может быть предоставлен пользователю несколько раз (если такая возможность задана в определении ресурса).
С определением ресурса можно связать не более одного наделения правами.
С определением ресурса может быть связана одна или несколько ссылок на одно и то же наделение правами. Эта возможность обеспечивает поддержку наделений правами, параметры которых представляют учетные записи с возможностью обеспечения правами доступа или разрешения в связанной системе.
Параметры поддержки наделения правами могут быть заданы при проектировании (статически) или при запросе (динамически).

За настройку User Application для Вас и других пользователей предприятия отвечают проектировщик рабочего процесса и системный администратор. Схема управления для рабочего процесса, основанного на ресурсах, а также внешний вид форм могут варьироваться в зависимости от того, как определение подтверждения для рабочего процесса было сформулировано в модуле "Проектировщик для Identity Manager". Кроме того, то, что пользователь может видеть и делать, обычно определяется его должностными обязанностями и уровнем полномочий.

Ресурсы

Ресурс любого цифрового объекта (учетной записи пользователя, компьютера или базы данных), необходимого бизнес-пользователю, должен иметь возможность получения доступа. User Application предоставляет конечным пользователям удобный способ формирования запросов о необходимых ресурсах. Кроме того, приложение предоставляет инструменты, которые администраторы могут использовать для определения ресурсов.

Каждый ресурс сопоставляется наделению правами. С определением ресурса можно связать не более одного наделения правами. Определение ресурса может быть более одного раза связано с одним и тем же наделением правами с различными параметрами для каждого ресурса.

Запросы о ресурсах

Ресурсы могут назначаться только пользователям. Их нельзя назначить группе или контейнеру. Однако если группе или контейнеру назначена роль, пользователи из этой группы или контейнера могут автоматически получить доступ к ресурсам, связанным с данной ролью.

Запросы о ресурсах могут требовать подтверждения. Процесс подтверждения для ресурса может управляться определением запроса на обеспечение правами доступа или внешней системой путем задания кода состояния в запросе о ресурсе.

Если запрос о предоставлении ресурса инициирован путем назначения роли, возможно, что этот ресурс не будет предоставлен, даже если роль обеспечена правами доступа. Наиболее вероятной причиной этого является то, что не было предоставлено необходимых подтверждений.

Запрос о ресурсе может предоставить ресурс пользователю или аннулировать предоставление ресурса.

Драйвер сервиса ролей и ресурсов

Для управления фоновой обработкой ресурсов User Application использует драйвер сервиса ролей и ресурсов. Например, он управляет запросами о ресурсах, запускает рабочие процессы и инициирует процессы запросов обеспечения правами доступа к ресурсам.