Délégation par assignation de rôle admin

Pour accorder des capacités et des étendues de contrôle précises aux utilisateurs Service Provider, utilisez un rôle admin d'utilisateurs Service Provider. Les rôles admin peuvent être configurés pour être assignés de manière dynamique à un ou plusieurs utilisateurs Identity Manager ou Service Provider au moment de la connexion.

Des règles peuvent être définies et assignées aux rôles admin qui spécifient les capacités (par exemple Créer les utilisateurs de Service Provider) accordées aux utilisateurs auxquels le rôle admin a été assigné.

Pour utiliser la délégation de rôle admin pour les utilisateurs de Service Provider, vous devez l'activer dans l'objet Configuration système d'Identity Manager (Édition des objets Configuration Identity Manager).

Si la délégation par assignation de rôle admin est activée, le Nom de l’attribut de l’organisation IDM dans Configuration de Service Provider n'est pas requis.

Activation de la délégation de rôles admin de Service Provider

Pour activer la délégation de rôles admin de Service Provider (l'administration déléguée de Service Provider), ouvrez l'objet Configuration système pour le modifier (Édition des objets Configuration Identity Manager) et définissez la propriété suivante sur true:

security.authz.external.app name.object type

Où app name est l'application Identity Manager (par exemple l'interface administrateur) et object type Service Provider Users.

Cette propriété peut être activée par application Identity Manager (par exemple, pour l'interface administrateur ou l'interface utilisateur) et par type d'objet. Actuellement, le seul type d'objet pris en charge est Service Provider Users. La valeur par défaut est false.

Par exemple, pour activer l'administration déléguée de Service Provider pour les administrateurs Identity Manager, définissez l'attribut suivant dans l'objet Configuration System Configuration (Configuration système) sur « true » :

security.authz.external.Administrator Interface.Service Provider Users

Si l'administration déléguée de Service Provider est désactivée (définie sur false) pour une application Identity Manager ou Service Provider donnée, le modèle d'autorisation basé sur les organisations est utilisé.

Lorsque l'administration déléguée de Service Provider est activée, les événements suivis capturent des informations sur le nombre et la durée des règles d'autorisation exécutées. Ces statistiques sont disponibles dans le tableau de bord.

Configuration d'un rôle admin d’utilisateurs de Service Provider

Pour configurer rôle admin d’utilisateurs de Service Provider, créez un rôle admin et précisez l'étendue de contrôle, les capacités et la personne à qui ce rôle doit être assigné.

Avant de créer un rôle admin d’utilisateurs de Service Provider, définissez le contexte et le filtre de recherche, le filtre post-recherche, les capacités et les règles d'assignation d'utilisateurs de ce rôle admin.

Pour utiliser les règles suivantes, vous devez en indiquer l'authType :

• SPEUsersSearchContextRule,

• SPEUsersSearchFilterRule,

• SPEUsersAfterSearchFilterRule,

• CapabilitiesOnSPEUserRule,

• UserIsAssignedAdminRoleRule,

• SPEUserIsAssignedAdminRoleRule.

Identity Manager fournit des exemples de règles que vous pouvez utiliser pour créer ces règles pour les rôles admin d'utilisateurs de Service Provider. Ces règles sont disponibles dans sample/adminRoleRules.xml dans le répertoire d'installation d'Identity Manager.

Pour plus d'informations sur la création de ces règles pour votre environnement, voir le guide Sun Identity Manager Service Provider 8.1 Deployment.

Pour configurer un rôle admin d'utilisateurs de Service Provider

1. Dans l'interface administrateur, cliquez sur Sécurité dans le menu puis sur Rôles admin.

   La page Rôles admin s'ouvre.

2. Cliquez sur Nouveau.

   La page Créer un rôle Admin s'ouvre.

3. Indiquez un nom pour le rôle admin et sélectionnez Utilisateurs de Service Provider pour le type.

4. Indiquez les options Portée du contrôle, Capacités et Assigner aux utilisateurs, comme décrit dans les sections suivantes.

Spécification de l'étendue du contrôle

La portée ou étendue de contrôle d'un rôle admin d'utilisateurs Service Provider précise les utilisateurs Service Provider qu'un administrateur Identity Manager, un utilisateur final Identity Manager ou un utilisateur final Service Provider Identity Manager donné, est autorisé à voir. L'étendue est imposée lorsqu'une demande visant à lister les utilisateurs de Service Provider Users dans l'annuaire est effectuée.

Vous pouvez spécifier un ou plusieurs des paramètres suivants pour l'étendue de contrôle du rôle admin d'utilisateurs Service Provider :

• Contexte de la recherche utilisateur. Indiquez si une règle ou une chaîne de texte doit être utilisée pour commencer une recherche.

  Si Aucun(e) est indiqué, le contexte de recherche par défaut sera le contexte de base spécifié dans la ressource Identity Manager configurée en tant qu'annuaire des utilisateurs de Service Provider .

• Filtre de recherche des utilisateurs. Indiquez si une règle ou une chaîne de texte doit être appliquée pour le filtre de recherche.

  La chaîne de texte spécifiée ou retournée par la règle sélectionnée doit être une chaîne de filtre de recherche conforme LDAP qui représente l'ensemble des utilisateurs, au sein du contexte de recherche, qui sera contrôlé par les utilisateurs assignés à ce rôle Admin. Le filtre indiqué sera combiné au filtre de recherche spécifié par l'utilisateur afin de garantir que les utilisateurs retournés par la recherche n'incluent aucun utilisateur que les utilisateurs auxquels ce rôle admin est assigné ne sont pas autorisés à lister.

• Règle de filtre post-recherche des utilisateurs. Sélectionnez une règle qui sera appliquée après l'application du filtre de recherche d'utilisateurs.

  Cette règle sera utilisée après l'exécution de la recherche LDAP initiale sur l'annuaire des utilisateurs de Service Provider et les résultats de son évaluation permettront de déterminer les noms distinctifs (dn) auxquels l'utilisateur demandant est autorisé à accéder.

  Ce type de règle peut être utilisé quand vous devez déterminer si un utilisateur doit figurer dans l'étendue de contrôle de l'utilisateur demandant en utilisant des attributs d'utilisateur non LDAP (par exemple, l'appartenance au groupe) ou quand la décision du filtre doit être faite en utilisant un référentiel autre que l'annuaire des utilisateurs de Service Provider (par exemple, une base de données Oracle ou RACF).

Spécification de capacités

Les capacités du rôle admin d'utilisateurs Service Provider spécifient les capacités et les droits que l'utilisateur demandant a sur l'utilisateur de Service Provider pour lequel l'accès est demandé. Elles sont imposées quand une demande d'affichage, création, modification ou suppression d'un utilisateur de Service Provider, est formulée.

Sur l'onglet Capacités, sélectionnez la Règle de capacités pour ce rôle admin.

Assignation des rôles admin aux utilisateurs

Les rôles admin d'utilisateurs Service Provider peuvent être assignés dynamiquement aux utilisateurs de fournisseur de services en indiquant une règle qui sera évaluée au moment de la connexion pour déterminer si assigner le rôle admin en question à l'utilisateur qui s'authentifie.

Cliquez sur l'onglet Assigner aux utilisateurs et sélectionnez la règle à appliquer pour l'assignation.

L'assignation dynamique de rôles admin aux utilisateurs doit être activée pour chaque interface de connexion (par exemple, pour l'interface utilisateur et l'interface administrateur) en définissant l'objet Configuration système suivant (Édition des objets Configuration Identity Manager) sur true:

security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. logininterface

La valeur par défaut pour toutes les interfaces est false.