RAC/M IdentityAutorisation
A qui s'adresse ce guide ?
Le guide Référence des permissions pour les profils RAC/M décrit les différentes permissions et les objets sur lesquelles elles agissent. De plus, il décrit les profils par défaut livrés avec la solution et leurs raisons d'être.
Note
Les profils d'accès dans la solution sont entièrement configurables. Les profils par défaut ne sont que des exemples et sont habituellement adaptés au contexte particulier de l'organisation.
Liste des profils par défauts
Note
Les profils par défaut ont un nom anglais, car il s'agit d'éléments de contenu préconfigurés dans la solution. Les méta-données des éléments de contenu sont unilingues, car normalement configurées par l'organisation dans sa langue. Les éléments de contenu préconfigurés sont une exception à cette règle et ils sont en anglais.
Mais les noms peuvent être modifiés pour refléter la traduction lors du projet d'intégration initial.
Profils spéciaux
Les profils spéciaux ne peuvent être supprimés, car ils sont utilisés dans certaines règles d'assignation automatique lorsqu'aucun profil n'a été assigné explicitement. Par contre, ils peuvent être renommés comme les autres profils.
Ces profils peuvent aussi être assignés explicitement si nécessaire, mais ils sont généralement utilisés dans un mode d'assignation automatique.
Note
L'assignation automatique n'est faite que si l'identité n'a aucun profil assigné explicitement
| Profil | Assignation automatique | Description | Page d'accueil |
|---|---|---|---|
| RAC/M Admin | Aucune assignation automatique. Mais il est assigné au compte administrateur initial. | Donne tous les accès dans la console administrative. Il a des accès limités dans le libre-service où il ne peut faire de demandes. | Tableau de bord |
| Manager | Lorsque l'identité est propriétaire d'un groupe de délégation | Donne accès aux fonctions du libre-service et à certains droits en lecture nécessaires pour ces fonctions. Finalement il peut annuler des demandes d'approvisionnement. | Libre-service |
| User | Si l'identité n'est pas "Manager" et qu'elle n'a pas d'autres profils | Permet de faire des requêtes d'accès et de voir les tâches qui lui sont assignées dans le libre-service. | Libre-service |
Important
Au démarrage d'une campagne, la solution identifie tous les certificateurs qui participeront à la campagne et vérifie leurs groupes de délégation. Si un certificateur n'est pas propriétaire d'un groupe de délégation, la solution en créera un automatiquement. Le groupe créé ne contient aucun délégué.
Ce mécanisme fait en sorte qu'un certificateur dans une campagne a le profil "Manager" s'il n'a pas un autre profil assigné explicitement.
Profils généraux
| Profil | Description | Page d'accueil |
|---|---|---|
| Account Management | Sert à la gestion des comptes dans les actifs. Il peut visualiser les actifs et les demandes d'approvisionnement. Il est également en mesure de visualiser, créer, modifier et supprimer les comptes applicatifs. | Tableau de bord |
| Auditers | Sert aux auditeurs responsables de collecter les évidences de conformité dans la solution, mais ne permet pas de faire de modifications. Donne accès en lecture seulement sur tous les éléments de la console administrative. | Tableau de bord |
| Operator | Donne un accès en lecture aux journaux et aux fichiers de configuration, un accès en lecture et en écriture aux groupes, aux requêtes et à toutes les configurations de mappage en lecture et écriture. | Tableau de bord |
| Super Operator | Sert aux pilotes de la solution. Il permet de:
| Tableau de bord |
| Web Services | Par défaut, le profile de type "Web Services" n'a aucun droits |
Liste des permissions
Voici la liste des permissions qui peuvent être attribuées à un profil à partir de l'écran GESTION / RAC/M Profils. Une permission est la combinaison d'une portée et d'une action.
Actions
Les actions suivantes sont définies, mais pour une description plus détaillée veuillez vous référer à la section Portées pour la description exacte de ce que l'action permet pour une portée donnée.
| Action | Description |
|---|---|
| Lecture | Représente un droit en lecture sans aucune modification de l'objet. Cette action est souvent prérequise pour d'autres actions. |
| Enregistrer | Représente la création ou la modification d'un objet. |
| Supprimer | Représente la suppression d'un objet. Dans certains contextes, il est utile de séparer la modification de la suppression. |
| Exécuter | Cette action varie beaucoup en fonction de la portée. |
| Corréler | Représente le droit d'apparier / désapparier des éléments ensemble. |
| Autoriser | Cette action n'est pas utilisée actuellement dans la solution. |
| Rejeter | Cette action n'est pas utilisée actuellement dans la solution. |
Type de permission
Dans les sections et sous-sections suivantes, tous les types de permission (par exemple: Lecture, Exécuter, etc.) qui ne sont pas identifiés pour un élément n'ont pas d'impacts sur celui-ci.
Portées
Les portées suivantes sont définies dans la solution.
Gestion
- (Élément Principal)
- Permet de visualiser (Lecture) et d'exécuter (Exécuter) des séquences
- Permet de visualiser (Lecture) l'historique d'exécutions des séquences
- Journaux
- Permet de visualiser (Lecture) les logs de RAC/M Identity
- Utilisateurs RAC/M
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des utilisateurs
- Profils RAC/M
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des profils RAC/M Identity.
- Audits
- Permet de visualiser (Lecture) les audits.
Gens
(Élément Principal)
- Permet d'avoir accès (Lecture) à l'interface administrative de RAC/M Identity
- Permet de faire des appariements (Lecture et Enregistrer) de comptes.
- Permet de faire des approbations des appariements (Lecture et Enregistrer) de comptes.
- Permet de faire des fusions (Lecture et Enregistrer) de personnes.
Personnes
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des personnes.
- Permet d'afficher des attributs étendus (Lecture) en lien avec des personnes.
- Permet d'afficher de l'information (Lecture) sur des personnes dans l'écran des identités.
- Permet de faire des appariements d'identités (Lecture).
- Permet d'utiliser les listes de recherches (Lecture) de personnes.
Identité
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des identités.
- Permet de visualiser (Lecture) la liste des identités associées à une personne.
- Permet de visualiser (Lecture) de l'information contextuelle sur les identités dans différents écrans.
- Permet d'afficher (Lecture) la liste des types d'emplois.
- Permet de faire l'appariement des identités à des comptes ou des personnes (Lecture) et (Corréler)
- Permet d'utiliser les listes de recherche (Lecture) d'identité.
Actifs
- (Élément Principal)
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des regroupements d'actifs, actifs, groupes et permissions.
- Permet de visualiser (Lecture) la liste des ségrégations des tâches.
- Permet de visualiser (Lecture) de l'information ou des listes d'actifs et regroupements d'actifs dans différents écrans.
- Permet de visualiser (Lecture) les attributs étendus des actifs et regroupements d'actifs.
- Items
- Permet de visualiser les attributs étendus (Lecture) en lien avec les items.
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des items.
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des opérations.
- Comptes
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des comptes.
- Permet de visualiser (Lecture) la liste des comptes dans les écrans d'appariement des comptes.
- Permet d'afficher les attributs étendus (Lecture) en liens avec des comptes.
- Permet de visualiser (Lecture) de l'information sur des comptes dans les audits.
- Permet de transférer (Enregistrer) des comptes d'identités dans l'écran de détail des identités.
- Groupe
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des groupes.
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des groupes de délégations.
- Permet de visualiser (Lecture) de l'information sur des groupes dans des campagnes de révision des droits.
- Permet de visualiser (Lecture) de l'information sur des groupes dans les audits.
Accès
- (Élément Principal)
- Permet d'avoir accès (Lecture) à la section des accès.
- Campagne
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des campagnes de révisions.
- Permet de démarrer et terminer (Exécuter) une campagne.
- Permet d'effectuer certaines tâches dans une campagne de révision:
- Transférer (Exécuter) des approbations.
- Envoyer des notifications de rappel (Exécuter) à des certificateurs.
- Charger et afficher (Exécuter) des gabarits de courriel.
- Changer (Enregistrer) la date de fin des campagnes.
- Produire (Exécuter) des rapports sur la campagne.
- Permet de visualiser (Lecture) de l'information sur des campagnes de révision dans l'écran des requêtes si ceux-ci sont en lien avec des campagnes.
- Permet de visualiser (Lecture) des rapports de campagne.
- Permet de visualiser (Lecture) des exécutions de campagnes précédentes dans la liste des campagnes incrémentales.
- Permet d'ouvrir (Lecture) la modale de détail d'un rôle dans une campagne.
- Tout le contenu des campagnes
- Permet aux certificateurs d'effectuer leurs tâches d'approbation (Lecture et Enregistrer).
- Rôle
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des rôles et des versions de rôles.
- Permet de visualiser (Lecture) de l'information contextuelle sur des rôles dans différents écrans.
- Permet de dissocier (Supprimer) des rôles des identités auxquelles ils sont associés dans l'écran d'identité.
- Permet de visualiser les attributs étendus (Lecture) des rôles.
- Permet d'activer (Exécuter) une version de rôle.
- Permet d'afficher (Lecture) la liste des types d'emplois.
- Sessions de modélisation de rôles
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des sessions de modélisation des rôles.
- Permet d'activer ou désactiver (Exécuter) les rôles dans la session de modélisation.
- Perme de forer ou multi-forer (Exécuter) des rôles dans une session de modélisation.
- Politique
- Permet d'utiliser l'option de menu de ségrégation des tâches (Lecture)
- Fonctions
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des fonctions supplémentaires.
Approvisionnement
- (Élément Principal)
- Permet d'annuler (Supprimer) des demandes d'approvisionnements
- Tâches
- Permet de visualiser (Lecture) des tâches d'individus.
- Permet de visualiser (Lecture) l'arbre des droits demandés et détenus actuellement dans des demandes d'approbation dans le libre-service.
- Requêtes
- Permet de visualiser (Lecture), annuler (Enregistrer), modifier ou redémarer (Executer) des demandes d'accès dans le libre-service ou l'interface administrative.
- Identités
- Permet de visualiser (Lecture) ou annuler (Enregistrer) des demandes de droits pour des identités.
- Rôles
- Permet de visualiser (Lecture) ou annuler (Enregistrer) des demandes de droits pour des rôles.
- Comptes
- Permet de visualiser (Lecture) ou annuler (Enregistrer) des demandes de droits pour des comptes.
- Permet de visualiser (Lecture) des indicateurs de gestion de comptes dans le tableau de bord.
- Permet de visualiser (Lecture) des gabarits de courriel et des scripts liés à des configurations d'approvisionnement manuel.
- Groupes
- Permet de visualiser (Lecture) ou annuler (Enregistrer) des demandes de droits pour des groupes.
- Demandes écrites
- Permet de visualiser (Lecture) ou annuler (Enregistrer) des demandes écrites.
Organisation
- (Élément Principal)
- Permet de visualiser (Lecture), modifier (Enregistrer) ou supprimer (Supprimer) des entreprises, organisations et départements.
Rapports
- (Élément Principal)
- Permet de visualiser (Lecture), générer (Exécuter) ou supprimer (Supprimer) des rapports.
Configuration
- (Élément Principal)
- Permet d'accéder (Lecture) les écrans des configurations.
- Permet d'exécuter (Exécuter) des modules individuels et de tester les configurations.
- Mappages
- Permet de visualiser (Lecture), modifier (Enregistrer) et supprimer (Supprimer) les configurations de mappages suivantes:
- Postes
- Type d'emplois
- Étiquettes
- Sources
- Attributs Étendus
- Permet de visualiser (Lecture), modifier (Enregistrer) et supprimer (Supprimer) les configurations de mappages suivantes:
- Statut
- Permet de visualiser (Lecture), modifier (Enregistrer) et supprimer (Supprimer) les configurations de mappages de type États
- Processus
- Permet de créer/modifier (Enregistrer) et supprimer (Supprimer) les types de configuration suivante :
- Séquences
- Blocs
- Modules
- Formateurs
- Collecteurs
- Extracteurs
- Gestionnaires de fichiers
- Approvisionnement manuel
- Permet de créer/modifier (Enregistrer) et supprimer (Supprimer) les types de configuration suivante :
- Fichiers de configuration
- Permet de consulter (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des fichiers de configuration.
Politiques
- Politique
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des politiques de compte.
- Politique de mot de passe
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des politiques de mot de passe.
- Politique de nom d'utilisateur
- Permet de visualiser (Lecture), créer/modifier (Enregistrer) et supprimer (Supprimer) des politiques de nom d'utilisateur.
- Politique de collision
- Permet d'enregistrer (Enregistrer) des collisions de noms dans l'écran des politiques de nom d'utilisateur.
Tableau de bord
- (Élément Principal)
- Permet de visualiser (Lecture) le tableau de bord.
Libre-service
Note
Dans le libre-service, les permissions sont contextuelles aux identités selon les groupes de délégation. Par exemple, pour pouvoir approuver une demande d'accès pour une identité, il faut la permission appropriée dans le profil et être membre du groupe de délégation configuré pour l'approbation des accès de cette identité.
Il y a deux exceptions à cette règle:
- Demande d'accès pour une identité. Dès que le profil a la bonne permission, une personne peut faire une demande d'accès pour n'importe quelle identité. Mais la solution va demander les approbations aux personnes appropriées.
- Permission "Accès complet". Cette permission outrepasse la règle habituelle et rend les permissions applicables à toutes les identités.
- (Élément Principal)
- Permet d'accéder (Lecture) le portail libre-service.
- Accès complet
- Permet de faire des demandes (Exécuter) et des recherches (Exécuter) de toutes les identités dans le portail libre-services.
- Tâches
- Permet de visualiser (Lecture) les tâches d'identités dans le libre-service.
- Détail de requête
- Permet de visualiser dans le libre-service (Lecture) les demandes d'approvisionnement lié à une identité.
- Requête d'accès
- Permet de faire des demandes (Exécuter) pour ajouter et supprimer des droits pour des identités.
- Requête d'identité externe
- Permet de faire des demandes (Exécuter) pour ajouter et supprimer des droits pour des identités externes.
- Requête d'avis de départ d'identité
- Permet de faire des demandes (Exécuter) de terminaison pour des identités.
- Requête d'avis de départ d'identité externe
- Permet de faire des demandes (Exécuter) de terminaison pour des identités externes.
- Campagnes de révision
- Permet de visualiser (Lecture) et faire des approbations (Enregistrer) dans les campagnes de révision dans un contexte de libre-service.
- Permet de visualiser (Lecture) les rapports de campagne de révision dans un contexte de libre-service.
- Permet de visualiser (Lecture) les indicateurs de campagne de révision dans un contexte de libre-service.