Il est fortement recommandé de planifier le système d'autorisation lors de la première étape. Qui requiert l'accès au système AE, et quelles actions sont nécessaires ? Notez vos réflexions pour créer rapidement et facilement les utilisateurs et groupes d'utilisateurs lors des étapes suivantes.
1. |
Créer des groupes d'utilisateurs |
---|
Vous pouvez assigner des droits aux utilisateurs et aux groupes d'utilisateurs. En utilisant des groupes d'utilisateurs, vous pouvez réduire vos efforts d'administration. Les groupes d'utilisateurs offrent un aperçu clair depuis un point central et augmentent la sécurité de votre système AE.
|
2. |
Attribution de privilèges |
---|
Diverses fonctions de l'interface utilisateur sont liées à l'attribution de privilèges spécifiques. Pour les utilisateurs ou groupes d'utilisateurs nouvellement créés, tous les privilèges sont inactifs.
Prenez garde lors de l'assignation des privilèges, car certaines fonctions affectent le traitement d'un système AE ou l'accès aux données portant sur la sécurité.
Une liste de tous les privilèges se trouve sous l'onglet de l'objet groupe d'utilisateurs du même nom. Vous pouvez y activer autant de privilèges que nécessaire.
Les privilèges donnés à un utilisateur particulier et ceux des groupes d'utilisateurs correspondants s'accumulent. Les utilisateurs obtiennent l'accès à toutes les fonctions de l'interface utilisateur qui ont été activées pour eux et pour leurs groupes.
Par exemple :
L'utilisateur Dupont est autorisé à utiliser la corbeille et le conteneur de transport. Son groupe d'utilisateurs bénéficiant également du privilège "Connexion via CallAPI", il peut également utiliser CallAPI.
|
3. |
Attribution de droits |
---|
L'accès aux dossiers, statistiques, rapports et objets est soumis à des autorisations. Attention : les Serveurs et Agents font également partie de cette catégorie. À nouveau, les utilisateurs et les groupes d'utilisateurs nouvellement créés ne disposent d'aucun droit.
Attribuez les autorisations avec circonspection et utilisez la possibilité de définir des interdictions d'accès.
Les autorisations peuvent être définies dans l'onglet de l'objet groupe d'utilisateurs du même nom. Ces types de droit sont sélectionnés dans la première colonne. Les mêmes chiffres représentent les mêmes groupes d'autorisation et le mot-clé NOT représente les interdictions.
Les droits de l'utilisateur et des groupes d'utilisateurs correspondants s'additionnent.
Par exemple :
L'utilisateur Dupont peut lire et exécuter tous les objets dont le nom commence par "MM" et il peut afficher leurs statistiques. Comme les droits d'accès de lecture et de suppression sont aussi définis pour ces objets "MM" dans l'un de ses groupes d'utilisateurs, il est également autorisé à les écrire et les supprimer.
Dans un souci d'intégrité, nous présentons ici l'utilisation de différents groupes d'autorisations. Néanmoins, il est recommandé d'utiliser cette fonctionnalité uniquement pour les cas exceptionnels !
Si vous définissez différents groupes d'autorisations, l'utilisateur ne bénéficie que des droits accordés dans tous les groupes.
Exemple précédent :
L'utilisateur Dupont peut lire et exécuter tous les objets dont le nom commence par "MM" et il peut afficher leurs statistiques. Dans l'un des groupes d'utilisateurs auquel il appartient, les droits d'accès lire, exécuter, écrire et supprimer ont été définis pour ces objets. M. Dupont ne peut en somme que lire et exécuter (liaison ET logique).
Les interdictions ont toujours priorité. Si un refus d'accès s'applique à un utilisateur ou à l'un des groupes d'utilisateurs correspondants, l'accès à la section particulière n'est pas autorisé. Cette règle s'applique indépendamment du groupe d'autorisation.
Par exemple :
l'utilisateur Dupont peut exécuter des jobs sur tous les hôtes. L'un des groupes d'utilisateurs auquel il appartient contient un "Not" pour tout accès à l'agent UNIX01. Par conséquent, l'utilisateur Smith ne peut pas utiliser cet agent pour exécuter des tâches.
Les interdictions sont définies sous l'onglet Autorisations avec le groupe d'autorisation "NOT".
|
4. |
Créer des utilisateurs |
---|
Après avoir spécifié les groupes d'utilisateurs, vous pouvez créer vos utilisateurs individuels. Les noms d'objets utilisateur sont composés du nom de l'utilisateur et du département, tous deux séparés par une barre oblique (tel que DUPONT/DEV). Un maximum de 200 caractères sont permis pour cette combinaison.
Il faut maintenant compléter l'onglet Utilisateur. Il est aussi possible de définir que la connexion n'est autorisée que pendant certaines périodes de la journée (par exemple de 8 h à 18 h).
Seuls les utilisateurs actifs peuvent se connecter au système AE. Une case à cocher se trouve à cet effet dans le coin supérieur droit de l'onglet. Vous pouvez désactiver des utilisateurs en supprimant cette case.
|
5. |
Affecter des utilisateurs à des groupes d'utilisateurs |
---|
Les utilisateurs peuvent être assignés aux groupes d'utilisateurs de deux manières. Vous pouvez soit sélectionner les groupes auxquels un utilisateur devrait appartenir depuis un utilisateur, ou déterminer les membres depuis un groupe d'utilisateurs. Dans les deux cas, l'assignation se fait au moyen de l'onglet Groupe d'utilisateurs.
|
6. |
Journalisation des accès |
---|
Vous pouvez utiliser la variable UC_CLIENT_SETTINGS pour activer la journalisation des accès, et déterminer ce qu'elle doit couvrir. Il est possible d'y définir pour quelle catégorie d'accès (connexion, accès aux objets, accès et/ou privilège aux hôtes) une surveillance doit être effectuée. De plus, vous pouvez y définir s'il faut uniquement journaliser les refus d'accès ou bien également les permissions d'accès dans les messages de sécurité de la Supervision système.