16.1 Просмотр каталога ролей

Действие Каталог ролей на вкладке Роли и ресурсы интерфейса пользователя Identity Manager позволяет просматривать роли, ранее определенные в каталоге. Кроме того, оно позволяет создавать новые роли и изменять, удалять и назначать уже имеющиеся.

16.1.1 Просмотр ролей

  1. Щелкните Каталог ролей в списке действийРоли и ресурсы.

    User Application покажет список ролей, в настоящее время определенных в каталоге.

Фильтрация списка ролей

  1. Нажмите кнопку Фильтр просмотра в правом верхнем углу экрана Каталог ролей.

  2. В диалоговом окне Фильтр введите строку для фильтрации по имени или описанию роли либо выберите один или несколько уровней или категорий ролей.

  3. Щелкните Фильтр, чтобы применить критерии отбора.

  4. Чтобы удалить текущий фильтр, нажмите Сброс.

Задание максимального числа ролей на странице

  1. Щелкните выпадающий список Строк и выберите число строк, которое хотите видеть на каждой странице:

Прокрутка списка ролей

  1. Для перехода между страницами списка ролей нажимайте кнопки "Далее", "Назад", "Первый" или "Последний" внизу списка:

Сортировка списка ролей

Чтобы отсортировать список ролей:

  1. Щелкните заголовок столбца, по которому хотите отсортировать список.

    Индикатор в форме пирамидки показывает, какой столбец является новым столбцом сортировки. При сортировке по возрастанию индикатор сортировки показывается в обычном положении, вершиной вверх.

    При сортировке по убыванию индикатор сортировки перевернут.

    Первичный столбец сортировки определяется администратором.

При перезаписи первичного столбца сортировки новый столбец сортировки добавляется в список обязательных столбцов. Требуемые столбцы помечаются символом "звездочка" (*).

При изменении порядка сортировки списка ролей сделанная настройка сохраняется в хранилище вместе с Вашими пользовательскими настройками.

16.1.2 Создание новых ролей

  1. Нажмите кнопку Создать вверху экрана Каталог ролей:

    User Application покажет диалоговое окно "Создать роль":

  2. Введите подробные сведения для определения роли, как описано ниже:

    Таблица 16-1 Детали роли

    Поле

    Описание

    Отображаемое имя

    Текст, используемый при отображении имени роли в приложении User Application. При создании роли в поле Отображаемое имя нельзя использовать следующие символы:

    < > , ; \ " +  # = / | & *

    Можно перевести это имя на один из языков, поддерживаемых приложением User Application. См. дополнительные сведения: Таблица 1-1, Стандартные кнопки.

    Описание

    Текст, используемый для вывода описания роли в приложении User Application. Как и отображаемое имя, его можно перевести на любой язык, поддерживаемый User Application. См. дополнительные сведения: Таблица 1-1, Стандартные кнопки.

    Уровень роли

    (При изменении роли доступно только для чтения.) Выберите уровень роли в раскрывающемся списке.

    Уровни ролей определяются при помощи редактора "Проектировщик конфигурации ролей для Identity Manager".

    Субконтейнер роли

    (При изменении роли доступно только для чтения.) Место размещения объектов роли в драйвере. Контейнеры роли размещаются соответственно уровням ролей. User Application показывает только контейнеры ролей, расположенные на выбранном вами уровне ролей. Роль можно создать либо непосредственно на уровне роли, либо в контейнере в пределах уровня роли. Указывать контейнер роли не обязательно.

    Категории

    Позволяет использовать категории для организации ролей. Категории используются для фильтрации списков ролей. Категории доступны для множественного выбора.

    Владельцы

    Пользователи, определенные как владельцы определения роли. При формировании отчетов, связанных со справочником ролей, можно использовать фильтр с учетом владельца роли. Владелец роли не получает автоматически права на внесение изменений в определение роли.

  3. Нажмите Сохранить, чтобы сохранить определение роли.

    User Application показывает внизу окна несколько дополнительных вкладок, чтобы позволить завершить определение роли.

Определение отношений ролей

Вкладка Отношения ролей позволяет определить, как данная роль связана с вышестоящими и нижестоящими ролями иерархии. Эта иерархия дает возможность группировать права и ресурсы ролей более низкого уровня в роли более высокого уровня, упрощая задачу назначения прав. Допустимы следующие отношения:

  • Роли самого верхнего уровня (бизнес-роли) могут содержать роли нижних уровней. Они не могут входить в состав других ролей. Если Вы выбрали роль высшего уровня, на странице "Отношения ролей" сможете добавить только отношение с ролями более низкого уровня (дочерними ролями).

  • Роли среднего уровня (ИТ-роли) могут содержать роли более низкого уровня и, в свою очередь, входить в состав ролей более высокого уровня. Страница "Отношения ролей" позволяет добавить либо нижестоящую (дочернюю), либо вышестоящую (родительскую) роль.

  • Роли самого нижнего уровня (роли-разрешения) могут входить в состав ролей более высокого уровня, но не могут содержать другие роли самого нижнего уровня. Страница "Отношения ролей" позволяет добавить только вышестоящую роль.

Чтобы определить отношения ролей:

  1. Щелкните вкладку Отношения ролей.

  2. Нажмите кнопку Добавить.

    Откроется диалоговое окно Добавление отношения роли.

  3. Введите текст описания отношения в поле Исходное описание запроса.

  4. Укажите тип определяемого отношения, выбрав соответствующее значение в выпадающем списке Отношение ролей.

    Если новая роль — ИТ-роль, выпадающий список Отношение ролей позволяет определить Дочернее или Родительское отношение. Если новая роль — бизнес-роль, выпадающий список Отношение ролей показывает текст только для чтения, говорящий о том, что это отношение является Дочерним, т. к. с бизнес-ролью могут быть связаны только нижестоящие роли. Если новая роль — роль разрешения, выпадающий список Отношение ролей показывает текст только для чтения, говорящий о том, что это отношение является Родительским, т. к. с ролью разрешения могут быть связаны только вышестоящие роли.

    Список доступных для выбора ролей фильтруется в соответствии с выбранным Вами типом.

  5. Используйте элемент "Выбор объектов" справа от поля Выбранные роли для выбора роли (ролей), которую хотите связать с новой ролью.

  6. Нажмите кнопку Добавить.

Связывание ресурса с ролью

Чтобы связать ресурс с ролью:

  1. Перейдите на вкладку Ресурсы.

  2. Нажмите кнопку Добавить.

    User Application открывает диалоговое окно Добавить ассоциацию ресурса.

  3. Используйте элемент "Выбор объектов" для выбора нужного ресурса, затем введите текст объяснения причины связывания.

    Мастер покажет страницу со сведениями о выбранном ресурсе: названием категории ресурсов, именем владельца, параметрами наделения правами.

    Если наделение правами требует статических значений параметров, которые описывают дополнительные атрибуты или несут подробную информацию о наделении правами, мастер показывает эти статические значения рядом с меткой Значение наделения правами. Если наделение правами требует динамических параметров, мастер показывает форму запроса о ресурсе с полями для динамических параметров, а также вспомогательными полями.

  4. В поле Описание ассоциации введите текст объяснения причины связывания ресурса с ролью.

  5. Нажмите Добавить, чтобы связать выбранный ресурс с выбранной ролью.

    Список Ассоциации ресурсов покажет ресурс, который Вы добавили к определению роли:

    Что происходит с существующими назначениями роли При добавлении новой связи ресурса с ролью, которая уже имеет назначенные объекты, система инициирует новый запрос для предоставления данного ресурса каждому из объектов.

    ПРИМЕЧАНИЕ.В версиях RBPM, предшествующих Public Patch 401C, результаты будут зависеть от того, был ли ресурс с параметрами предоставлен пользователю с помощью ассоциации ролей или путем прямого назначения. Это имеет место в следующих случаях.

    • С ролью ассоциирован ресурс, имеющий как параметр наделение правами, так и параметр поля, определенного на вкладке "Форма запроса". Если пользователь был назначен роли напрямую, через членство в группе или через контейнер, такой пользователь также будет назначен ресурсу. Однако назначение ресурса будет иметь только значение параметра наделения правами.

      Эта проблема была решена в Public Patch 401c и в версии 4.0.2. Тем не менее, если назначения были созданы в предыдущей версии (370, 400 или до Public 401C) и желательно видеть все эти параметры ресурса, отзовите пользователя из роли и назначьте пользователя снова.

    • С ролью ассоциирован только ресурс, имеющий два и более полей, определенных на вкладке "Форма запроса". Если пользователь был назначен роли напрямую, через членство в группе или через контейнер, такой пользователь будет назначен ресурсу столько раз, сколько существует параметров поля. Другими словами, пользователь будет иметь одно назначение ресурса для каждого параметра. Если ресурс был назначен напрямую, пользователь будет иметь одно назначение для всех перечисленных параметров.

      Эта проблема была решена в Public Patch 401c и в версии 4.0.2. Тем не менее, если ассоциации ресурсов были созданы в предыдущей версии (370, 400 или до Public 401C), по-прежнему будет наблюдаться это поведение. Чтобы воспользоваться преимуществами исправления, удалите ассоциацию ресурса и создайте ее заново.

Чтобы удалить связь ресурса с ролью:

  1. Выберите нужную связь ресурса в списке Ассоциации ресурсов.

  2. Нажмите Удалить.

    Что происходит с существующими назначениями роли При удалении связи ресурса с ролью, на которую уже назначены объекты, система инициирует новый запрос об аннулировании назначения ресурса для каждого из объектов.

Определение процесса подтверждения для роли

Чтобы определить процесс подтверждения для роли:

  1. Перейдите на вкладку Подтверждение.

  2. Введите сведения о процессе подтверждения, как описано ниже:

    Таблица 16-2 Сведения о процессе подтверждения

    Поле

    Описание

    Требуется утверждение

    Установите этот флажок, если требуется подтверждение роли по запросу и Вы хотите, чтобы процесс подтверждения выполнялся в соответствии с определением стандартного назначения роли.

    Если роль не требует подтверждения по запросу, сбросьте этот флажок.

    ПРИМЕЧАНИЕ.Подтверждения ролей включаются только для явных назначений роли пользователю.

    Пользовательское подтверждение

    Выберите эту опцию, если хотите использовать определение пользовательского подтверждения (определение запроса о предоставлении прав доступа). Используйте Выбор объектов, чтобы выбрать определение подтверждения.

    Стандартное подтверждение

    Выберите эту опцию, если данная роль использует стандартное определение подтверждения назначения, заданное в конфигурации подсистемы ролей и ресурсов. В приведенном ниже поле Определение подтверждения для назначения роли имя определения для утверждения доступно только для чтения.

    Вы должны выбрать тип утверждения Последовательный или Кворум, а также действующих утверждающих.

    Тип утверждения

    Выберите Последовательный, если хотите, чтобы назначение роли было утверждено всеми пользователями, перечисленными в списке Утверждающие. Утверждающие участвуют в утверждении последовательно, в порядке их перечисления в списке.

    Выберите Кворум, если хотите, чтобы назначение роли было утверждено хотя бы частью пользователей, перечисленных в списке Утверждающие. Утверждение будет завершено, когда число утвердивших достигнет указанного процента.

    Например, если нужно, чтобы запрос считался утвержденным при условии, что его утвердил хотя бы один из четырех перечисленных в списке пользователей, то необходимо указать тип "Кворум", а значение процента — 25. Как вариант, Вы можете указать 100%, если все четверо утверждающих должны участвовать в утверждении параллельно. Допустимые значения — целые числа в диапазоне от 1 до 100.

    СОВЕТ.Если на поля "Последовательный" и "Кворум" навести курсор мыши, появится текст, поясняющий их поведение.

    Утверждающие

    Выберите Пользователь, если задачу утверждения роли нужно назначить одному или нескольким пользователям. Выберите Группа, если задачу утверждения роли нужно назначить группе. Выберите Контейнер, если задачу утверждения роли нужно назначить контейнеру. Если задачу подтверждения требуется назначить роли, выберите Роль.

    Чтобы найти конкретного пользователя, группу, контейнер или роль, используйте элемент Выбор объектов. Чтобы изменить порядок расположения утверждающих в списке или удалить утверждающего, см. Раздел 1.4.4, Действия обычного пользователя.

    Требуется подтверждение отзыва (Так же, как "Предоставить конфигурацию")

    Установите этот флажок, если требуется подтверждение при отзыве.

    Процесс подтверждения, используемый для запросов отзыва ролей, как и список подтверждающих, совпадают с таковыми при предоставлении ролей. Если отметить необходимость в процессе подтверждения для выполнения стандартного определения подтверждения назначения ролей, будет использоваться этот процесс. Кроме того, можно задать пользовательский процесс подтверждения как для запросов предоставления ролей, так и для запросов отзыва ролей. В определении пользовательского запроса обеспечения доступа можно указать, является ли действие предоставлением или отзывом, и настроить процесс подтверждения соответственно.

    Если роль не требует подтверждения отзыва, снимите этот флажок.

Назначение ролей

Подробно о назначении ролей см. Раздел 16.1.5, Назначение ролей

Проверка состояния запросов

Действие Состояние запроса позволяет увидеть состояние Ваших запросов о назначении ролей, в том числе прямых запросов, а также запросов о назначении ролей для групп или контейнеров, к которым Вы принадлежите. С его помощью можно увидеть текущее состояние каждого запроса. Кроме того, это действие дает Вам возможность отозвать запрос, обработка которого еще не завершена или не была прервана, если Ваши намерения изменились и Вы не хотите, чтобы запрос был выполнен.

Действие Состояние запроса показывает все запросы о назначении ролей, в том числе те, которые выполняются, ожидают подтверждения, подтверждены, выполнены, отклонены или прерваны.

Для просмотра состояния запроса о назначении роли:

  1. Перейдите на вкладку Состояние запроса.

    Поле Действие запроса показывает, чем было действие: предоставлением или отзывом. Если требовалось подтверждение и процесс подтверждения не был выполнен, отображается состояние Ожидание подтверждения.

  2. Чтобы увидеть подробные сведения о состоянии запроса, щелкните состояние.

    Откроется окно "Подробная информация о назначении":

    Подробно о значениях состояний см. Раздел 10.4, Просмотр состояния запроса

  3. Чтобы отозвать запрос, выберите его и нажмите Отозвать.

    Для отзыва запросов требуется разрешение.

    Если запрос был завершен или прерван, при попытке отозвать его Вы увидите сообщение об ошибке.

16.1.3 Изменение существующей роли

  1. Выберите ранее определенную роль и щелкните Правка.

  2. Внесите в настройки свои изменения и нажмите Сохранить.

Наделения правами, связанные с существующими ролями Роли, определенные в прежних выпусках модуля обеспечения правами доступа, основанного на ролях, могут быть связаны с наделением правами. Если с ролью связаны определенные политики наделения правами, в интерфейсе пользователя будет отображаться вкладка Наделение правами, которая позволяет просматривать политики наделения правами, а также удалять их. Политики наделения правами работают и в данном выпуске, но теперь компания Novell рекомендует связывать их с ресурсами, а не с ролями.

16.1.4 Удаление ролей

  1. Выберите ранее определенную роль и нажмите Удалить.

    Когда приложение IDM получает команду удаления, оно устанавливает для роли состояние Откладывание удаления. Драйвер сервиса ролей и ресурсов замечает изменение состояния и выполняет следующие действия:

    • удаляет назначения ресурсов для роли;

    • удаляет саму роль.

    Драйвер сервиса ролей и ресурсов оптимизирует этот процесс. Тем не менее для его выполнения может потребоваться некоторое время, зависящее от числа пользователей, назначенных роли, поскольку драйвер сервиса ролей и ресурсов должен убедиться, что он не удалит ресурс пользователей, которым он принадлежит по другой причине. Если роль остается в состоянии Откладывание удаления слишком долго, дважды щелкните драйвер, чтобы убедиться, что он запущен и имеет последнюю версию.

    Если роль имеет состояние Откладывание удаления, эту роль нельзя редактировать, удалять или назначать.

    ПРИМЕЧАНИЕ.В версии 4.0.2 был добавлен новый атрибут с именем nrfStatus, который добавляется к объектам nrfRole для управления состоянием роли. Этот атрибут имеет два состояния: "Создано" и "Откладывание удаления".

    Что происходит с существующими назначениями роли При удалении роли, связанной с ресурсом, как и роли, на которую назначен один или несколько объектов, система удаляет назначение ресурса из каждого объекта, с которым связан данный ресурс.

    ПРИМЕЧАНИЕ.Если вы удаляете роль, которой назначен какой-либо ресурс, или удаляете пользователя из этой роли, автоматически удаляются назначения ресурсов для пользователей с этой ролью, даже если эти ресурсы были ранее назначены непосредственно. Это происходит потому, что предполагается, что наиболее достоверным источником при назначении ресурса является контроллер этого ресурса, как показано с помощью следующего сценария:

    1. Ресурс создается и назначается некоторому наделению правами.

    2. Созданному ресурсу назначается некоторый пользователь.

    3. Создается роль, которая привязывается к ресурсу, созданному на первом шаге.

    4. Затем тот же самый пользователь назначается только что созданной роли.

    5. Пользователь удаляется из роли.

    В этом случае пользователь удаляется из ресурса, даже если этот ресурс был назначен непосредственно. Изначально назначение ресурса считается достоверным источником. Однако при назначении пользователя роли, которая связана с тем же самым ресурсом, эта роль становится достоверным источником.

    Удаление ролей из ограничивающих условий разделения обязанностей После удаления конфликтной роли, относящейся к ограничивающему условию разделения обязанностей, это условие появится в списке каталога разделения обязанностей и будет снабжено пометкой Недопустимо в квадратных скобках после имени, например Ограничивающее условие разделения обязанностей врача и фармацевта [Недопустимо].

ПРЕДУПРЕЖДЕНИЕ.Менеджер ролей, имеющий разрешение "Удалить роль" для системных ролей (или контейнера, содержащего эти роли), может удалять системные роли. Системные роли не следует удалять. Если какая-либо из системных ролей удалена, работа User Application будет нарушена.

16.1.5 Назначение ролей

Роль можно назначить двумя способами:

  • Из Каталога ролей

  • Из диалогового окна Редактировать роль

Оба способа описаны ниже.

Назначение роли из каталога

  1. Выберите ранее определенную роль в Каталоге ролей и нажмите Назначить.

    User Application откроет диалоговое окно Назначить роль:

  2. Заполните поля в диалоговом окне Назначить роль:

    1. В поле Исходное описание запроса введите текст описания причины запроса.

    2. В поле "Тип назначения" выберите Пользователь, Группа или Контейнер, чтобы показать, какому типу объектов будет назначена данная роль.

    3. С помощью элемента "Выбор объектов" введите строку поиска и нажмите "Поиск". Выберите пользователей, группы или контейнеры, которые хотите назначить.

      Назначение роли нескольким объектам Можно выбрать одного или несколько пользователей (или групп, контейнеров) для назначения роли. При выборе нескольких объектов все выбранные объекты получают одни и те же параметры назначения роли.

    4. Укажите дату начала срока действия роли в поле Дата вступления в силу.

      Дату можно ввести в формате дд/мм/гггг чч:мм:сс а (где "а" означает ДП или ПП). Можно также щелкнуть значок "Календарь" и выбрать дату во всплывающем окне "Календарь":

    5. Укажите дату истечения срока действия роли в поле Дата окончания срока действия.

      ПРИМЕЧАНИЕ.Дата окончания срока действия применима только к назначениям ролей. Поле Дата окончания срока действия недоступно для групп и контейнеров.

      Чтобы задать дату окончания срока действия, нажмите Укажите срок окончания действия. Дату можно ввести в формате дд/мм/гггг чч:мм:сс а (где а означает ДП или ПП). Можно также щелкнуть значок "Календарь" и выбрать дату во всплывающем окне "Календарь":

      По умолчанию дата окончания срока действия установлена как Бессрочно, это значит, что данное назначение роли будет действовать неограниченное время.

  3. Щелкните Передать.

Назначение роли в диалоговом окне "Редактировать роль"

  1. Выберите роль в Каталоге ролей и нажмите Правка, чтобы открыть диалоговое окно Редактировать роль.

  2. Перейдите на вкладку Назначения.

    На вкладке Назначения показан список назначений на выбранную роль.

  3. Чтобы добавить новое назначение, нажмите Назначить.

    User Application откроет диалоговое окно Назначить роль:

    Подробнее о работе с формой запроса о назначении ролей см. Назначение роли из каталога.

16.1.6 Обновление списка ролей

  1. Щелкните Обновить.

ПРИМЕЧАНИЕ.Если создать назначение роли, а потом удалить его, будет выдано сообщение о его удалении, но назначение все еще будет отображаться. Чтобы увидеть, что назначение было удалено, нужно обновить страницу.

16.1.7 Настройка просмотра списка ролей

Каталог ролей позволяет Вам выбирать и отменять выбор столбцов, а также менять порядок расположения столбцов в просматриваемом списке ролей. Это определяется настройкой в диалоговом окне "Настроить отображение каталога ролей". При изменении списка столбцов или изменении порядка их расположения эти настройки сохраняются в хранилище вместе с Вашими пользовательскими настройками.

Чтобы настроить просмотр столбцов:

  1. Нажмите Настроить в Каталоге ролей:

    User Application показывает список столбцов, выбранных для показа в данный момент, и список дополнительных столбцов, доступных для выбора.

  2. Чтобы включить в список показываемых дополнительный столбец, выберите его в списке Доступные столбцы и перетащите в поле со списком Выбранные столбцы.

    Чтобы выбрать в списке несколько столбцов, удерживайте клавишу Ctrl и одновременно выбирайте столбцы. Чтобы выбрать несколько столбцов, стоящих в списке друг за другом, удерживайте клавишу Shift и одновременно выбирайте столбцы.

    Порядок расположения столбцов на экране можно изменить, перемещая их вверх или вниз в поле со списком Выбранные столбцы.

  3. Чтобы удалить столбец из списка показываемых, выберите его в списке Выбранные столбцы и перетащите в список Доступные столбцы.

    Столбец Имя роли является обязательным и не может быть удален из списка ролей.

  4. Нажмите кнопку Сохранить, чтобы сохранить изменения.