Utilisation des types d'autorisations pour sécuriser les objets

En règle générale, vous utiliserez les permissions spécifiées dans une capacité AdminGroup pour accorder l'accès à un objectType Identity Manager tel qu'une configuration, une règle ou une TaskDefinition. Cependant, accorder l'accès à tous les objets d'un objectType Identity Manager au sein d'une ou plusieurs organisations contrôlées est parfois trop étendu.

L'utilisation de types d'autorisations (AuthType) permet de mieux définir ou restreindre l'accès à un sous-ensemble d'objets pour un objectType Identity Manager donné. Vous pouvez, par exemple, ne pas vouloir accorder aux utilisateurs l'accès à toutes les règles rentrant dans leur étendue de contrôle lors du remplissage des règles pour la sélection dans un formulaire utilisateur.

Pour définir un nouveau type d'autorisation, éditez l'objet Configuration AuthorizationTypes dans le référentiel d'Identity Manager et ajoutez un nouvel élément <AuthType>.

Cet élément requiert les deux propriétés suivantes :

• le nom du nouveau type d'autorisations ;

• le type d'autorisation existant ou objectType que le nouvel élément étend ou définit.

Par exemple, pour ajouter un nouveau type d'autorisations Règle appelé Marketing Rule, qui étend Rule, vous devez définir ce qui suit :

<AuthType name=’Marketing Rule’ extends=’Rule’/>

Ensuite, pour activer le type d'autorisations à utiliser, vous devez le référencer dans deux endroits :

• Au sein d'une capacité AdminGroup personnalisée qui accorde un ou plusieurs droits au nouveau type d'autorisations.

• Au sein des objets qui devraient être de ce type.

Voici des exemples de ces deux références. Dans le premier, une définition de capacité AdminGroup accorde l'accès à Marketing Rules.

Exemple 12–4 Définition de capacité AdminGroup

<AdminGroup name=’Marketing Admin’>
  <Permissions>
    <Permission type=’Marketing Rule’ rights=’View,List,Connect,Disconnect/>
  </Permissions>
  <AdminGroups>
    <ObjectRef type=’AdminGroup’ id=’#ID#Account Administrator’/>
  </AdminGroups>
</AdminGroup>

Dans l'exemple suivant, une définition Rule permet aux utilisateurs d'accéder à l'objet puisqu'ils se sont vus octroyer l'accès à Rule ou Marketing Rule.

Exemple 12–5 Définition de Rule

<Rule name=’Competitive Analysis Info’ authType=’Marketing Rule’>
 ...
</Rule>

Tous les utilisateurs auxquels des droits d'accès à un type d'autorisations ou à un type statique étendu par un type d'autorisations, ont été accordés, auront les mêmes droits sur les types d'autorisations enfants. Ainsi, en utilisant l'exemple précédent, tout utilisateur auquel des droits d'accès à Rule auront été accordé bénéficiera des mêmes droits d'accès pour Marketing Rule. L'inverse toutefois n'est pas vrai.