Pour configurer rôle admin d’utilisateurs de Service Provider, créez un rôle admin et précisez l'étendue de contrôle, les capacités et la personne à qui ce rôle doit être assigné.
Avant de créer un rôle admin d’utilisateurs de Service Provider, définissez le contexte et le filtre de recherche, le filtre post-recherche, les capacités et les règles d'assignation d'utilisateurs de ce rôle admin.
Pour utiliser les règles suivantes, vous devez en indiquer l'authType :
SPEUsersSearchContextRule,
SPEUsersSearchFilterRule,
SPEUsersAfterSearchFilterRule,
CapabilitiesOnSPEUserRule,
UserIsAssignedAdminRoleRule,
SPEUserIsAssignedAdminRoleRule.
Identity Manager fournit des exemples de règles que vous pouvez utiliser pour créer ces règles pour les rôles admin d'utilisateurs de Service Provider. Ces règles sont disponibles dans sample/adminRoleRules.xml dans le répertoire d'installation d'Identity Manager.
Pour plus d'informations sur la création de ces règles pour votre environnement, voir le guide Sun Identity Manager Service Provider 8.1 Deployment.
Dans l'interface administrateur, cliquez sur Sécurité dans le menu puis sur Rôles admin.
La page Rôles admin s'ouvre.
Cliquez sur Nouveau.
La page Créer un rôle Admin s'ouvre.
Indiquez un nom pour le rôle admin et sélectionnez Utilisateurs de Service Provider pour le type.
Indiquez les options Portée du contrôle, Capacités et Assigner aux utilisateurs, comme décrit dans les sections suivantes.
La portée ou étendue de contrôle d'un rôle admin d'utilisateurs Service Provider précise les utilisateurs Service Provider qu'un administrateur Identity Manager, un utilisateur final Identity Manager ou un utilisateur final Service Provider Identity Manager donné, est autorisé à voir. L'étendue est imposée lorsqu'une demande visant à lister les utilisateurs de Service Provider Users dans l'annuaire est effectuée.
Vous pouvez spécifier un ou plusieurs des paramètres suivants pour l'étendue de contrôle du rôle admin d'utilisateurs Service Provider :
Contexte de la recherche utilisateur. Indiquez si une règle ou une chaîne de texte doit être utilisée pour commencer une recherche.
Si Aucun(e) est indiqué, le contexte de recherche par défaut sera le contexte de base spécifié dans la ressource Identity Manager configurée en tant qu'annuaire des utilisateurs de Service Provider .
Filtre de recherche des utilisateurs. Indiquez si une règle ou une chaîne de texte doit être appliquée pour le filtre de recherche.
La chaîne de texte spécifiée ou retournée par la règle sélectionnée doit être une chaîne de filtre de recherche conforme LDAP qui représente l'ensemble des utilisateurs, au sein du contexte de recherche, qui sera contrôlé par les utilisateurs assignés à ce rôle Admin. Le filtre indiqué sera combiné au filtre de recherche spécifié par l'utilisateur afin de garantir que les utilisateurs retournés par la recherche n'incluent aucun utilisateur que les utilisateurs auxquels ce rôle admin est assigné ne sont pas autorisés à lister.
Règle de filtre post-recherche des utilisateurs. Sélectionnez une règle qui sera appliquée après l'application du filtre de recherche d'utilisateurs.
Cette règle sera utilisée après l'exécution de la recherche LDAP initiale sur l'annuaire des utilisateurs de Service Provider et les résultats de son évaluation permettront de déterminer les noms distinctifs (dn) auxquels l'utilisateur demandant est autorisé à accéder.
Ce type de règle peut être utilisé quand vous devez déterminer si un utilisateur doit figurer dans l'étendue de contrôle de l'utilisateur demandant en utilisant des attributs d'utilisateur non LDAP (par exemple, l'appartenance au groupe) ou quand la décision du filtre doit être faite en utilisant un référentiel autre que l'annuaire des utilisateurs de Service Provider (par exemple, une base de données Oracle ou RACF).
Les capacités du rôle admin d'utilisateurs Service Provider spécifient les capacités et les droits que l'utilisateur demandant a sur l'utilisateur de Service Provider pour lequel l'accès est demandé. Elles sont imposées quand une demande d'affichage, création, modification ou suppression d'un utilisateur de Service Provider, est formulée.
Sur l'onglet Capacités, sélectionnez la Règle de capacités pour ce rôle admin.
Les rôles admin d'utilisateurs Service Provider peuvent être assignés dynamiquement aux utilisateurs de fournisseur de services en indiquant une règle qui sera évaluée au moment de la connexion pour déterminer si assigner le rôle admin en question à l'utilisateur qui s'authentifie.
Cliquez sur l'onglet Assigner aux utilisateurs et sélectionnez la règle à appliquer pour l'assignation.
L'assignation dynamique de rôles admin aux utilisateurs doit être activée pour chaque interface de connexion (par exemple, pour l'interface utilisateur et l'interface administrateur) en définissant l'objet Configuration système suivant (Édition des objets Configuration Identity Manager) sur true:
security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. logininterface
La valeur par défaut pour toutes les interfaces est false.