Utilizzo di CA AppLogic › Guida per l'amministratore › Controllo di accesso basato sui ruoli › Scenario di esempio
Scenario di esempio
CA AppLogic non fornisce uno schema esteso di utenti e gruppi predefiniti. Ciò consente agli amministratori della griglia di impostare utenti, gruppi e l'accesso agli oggetti in base a ciascuna situazione. Generalmente, gli amministratori della griglia si attengono alle seguenti procedure:
- Creazione di utenti locali.
- Creazione di un insieme di gruppi locali. Tali gruppi possono essere utilizzati per separare gli utenti per tipo di lavoro (ad esempio, amministratore della griglia, sviluppo applicazioni, controllo della qualità, etc), strutture di business (ad esempio, per dipartimento o unità di business in modo che diversi gruppi di utenti possano condividere lo sviluppo di una griglia) o per altre ragioni pratiche. È possibile ottenere lo stesso effetto anche con gruppi globali. Si tratta di un'operazione particolarmente utile quando la stessa impostazione viene utilizzata per due o più griglie.
- Aggiunta di utenti o di gruppi a gruppi, in base alle necessità.
- Modifica di ACL dell'oggetto per l'assegnazione di diritti di livello di accesso specifici a gruppi.
Il seguente scenario fornisce un esempio pratico del funzionamento di tale processo per il controllo efficace dell'accesso da parte degli utenti.
Ace Starships Incorporated (ASI) si dedica alla costruzione di navicelle spaziali. Ciascuna navicella spaziale include sistemi software per il supporto vitale e la propulsione. Questi due sistemi software vengono sviluppati su una griglia di grandi dimensioni di CA AppLogic condivisa prima che venga effettuata la distribuzione sulle griglie di produzione nella navicella spaziale reale. Il processo di sviluppo su questa griglia include le seguenti parti:
- Team di sviluppo del sistema di supporto vitale
- Team di sviluppo del sistema di propulsione
- Team esterni- specialisti nello sviluppo di applicazioni middleware (applicazioni comuni)
- Revisori - Personale ASI che richiede l'accesso senza eliminazione allo sviluppo
- Controllo della qualità (QA) - Personale dedicato al controllo della qualità dei prodotti dei team di sviluppo ed esterni
Si dispone inoltre di:
- Un utente globale john_adams amministratore della griglia - la persona responsabile dell'amministrazione della griglia
- Un utente globale jane_osprey operatore della griglia - la persona responsabile della griglia quando l'amministratore della griglia è assente
Inoltre:
- ASI utilizza un servizio della directory basato su LDAP per la gestione di utenti e gruppi in forma centralizzata per l'intera azienda. Tutti gli utenti, ad eccezione dei membri dei team esterni, dispongono di un account per il sistema.
- Il team del sistema di propulsione utilizza diverse applicazioni create dal team del sistema di supporto vitale, ma non modifica l'architettura di tali applicazioni.
- Entrambi i team utilizzano le appliance sviluppate dal team esterno senza modificarle.
- Alcuni cataloghi globali contengono appliance specifiche per ciascuna fase di sviluppo: life_support, propulsione e team esterno.
In tale scenario, sarà necessario scegliere tra una gestione dell'appartenenza al gruppo mediante la directory integrale aziendale o la gestione di tale appartenenza mediante i gruppi locali. Nel presente esempio verrà utilizzato il primo approccio:
- Mediante la directory integrale aziendale di ASI, creare i gruppi life_support, propulsion, QA e auditors ed includere in tali gruppi gli utenti globali corrispondenti. L'operazione viene eseguita al di fuori di CA AppLogic.
Nell'esempio in questione, l'utente iniziale di CA AppLogic (membro del gruppo locale admin), esegue la seguente configurazione per l'utente e il gruppo:
- Creazione di un account utente locale per ciascuno dei membri del team esterno.
- Creazione dei seguenti gruppi locali:
- outsiders
- grid_operators
- app_developers
- Impostazione dell'appartenenza al gruppo:
- Aggiunta degli utenti locali creati al gruppo locale outsiders.
- Aggiunta dei gruppi globali life_support, propulsion e QA al gruppo app_developers.
- Aggiunta del gruppo locale outsiders al gruppo app_developers.
- Aggiunta dell'utente globale john_adams al gruppo admin
- Aggiunta dell'utente globale jane_osprey al gruppo grid_operators
- Modifica degli ACL dell'oggetto per configurare l'accesso agli oggetti:
- Modifica dell'ACL della griglia:
- Concessione dei diritti di livello di accesso grid_operator al gruppo locale grid_operators.
- Concessione dei diritti di livello di accesso app_developer al gruppo locale app_developers.
- Concessione dei diritti di livello di accesso monitor al gruppo globale auditors.
- Modifica degli ACL del catalogo globale in:
- Concessione dei diritti di livello di accesso full al catalogo life_support al gruppo globale life_support, del catalogo propulsion al gruppo globale propulsion e del catalogo outsiders al gruppo locale outsiders.
- Concessione dei diritti di livello di accesso configure per il catalogo outsiders al gruppo locale app_developers, e del catalogo life_support al gruppo globale propulsion.
Le seguenti tabelle mostrano l'appartenenza ai gruppi per lo scenario:
|
Gruppo globale
|
Membri
|
|
life_support
|
Utenti globali individuali - Questo gruppo viene mantenuto al di fuori di CA AppLogic
|
|
propulsion
|
Utenti globali individuali - Questo gruppo viene mantenuto al di fuori di CA AppLogic
|
|
QA
|
Utenti globali individuali - Questo gruppo viene mantenuto al di fuori di CA AppLogic
|
|
auditors
|
Utenti globali individuali - Questo gruppo viene mantenuto al di fuori di CA AppLogic
|
|
Gruppo locale
|
Membri
|
|
admin
|
l'utente locale john_adams
|
|
grid_operators
|
l'utente locale jane_osprey
|
|
outsiders
|
utenti locali individuali
|
|
app_developers
|
Il gruppo locale outsiders ed i gruppi globali life_support, propulsion e QA
|
La seguente tabella mostra i diritti di livello di accesso concessi alle entità principali per gli oggetti corrispondenti all'interno dello scenario in questione:
|
|
|
|
|
|
Oggetto
|
Entità principale
|
Livello di accesso
|
|
|
Ambito
|
Tipo
|
Nome
|
|
|
grid
|
locale
|
group
|
admin
|
grid_administrator
|
|
|
locale
|
group
|
grid_operators
|
grid_operator
|
|
|
locale
|
group
|
app_developers
|
app_developer
|
|
|
globale
|
group
|
auditors
|
monitor
|
|
catalog life_support
|
globale
|
group
|
life_support
|
full
|
|
|
globale
|
group
|
propulsion
|
configure
|
|
catalog propulsion
|
globale
|
group
|
propulsion
|
full
|
|
catalog outsiders
|
globale
|
group
|
outsiders
|
full
|
|
|
locale
|
group
|
app_developers
|
configure
|
L'impostazione iniziale degli utenti e dei gruppi è ora completata. Gli utenti globali appartenenti ai gruppi globali life_support, propulsion, QA e auditors possono eseguire l'accesso alla griglia. A ciascun utente verranno concessi automaticamente i diritti di livello di accesso necessari per l'esecuzione del proprio lavoro.
L'accesso ai cataloghi globali è stato impostato in modo che le appliance siano accessibili. Tuttavia, soltanto i membri del gruppo che dispone di diritti di livello di accesso full per un catalogo possono eseguire operazioni di eliminazione per tale catalogo.
Quando un utente crea un'applicazione nuova, tale utente diviene il titolare dell'applicazione ed ottiene i diritti di livello di accesso full per tale applicazione. L'utente può modificare l'ACL dell'applicazione per concedere ad altri membri del proprio team di sviluppo (o ad altri team) l'accesso all'applicazione. Ad esempio:
- Un membro del team del sistema di supporto vitale può concedere al gruppo locale life_support diritti di livello di accesso full all'applicazione in modo che altri membri del team possano modificarla.
- Un membro del team del sistema di supporto vitale può concedere al gruppo locale propulsion diritti di livello di accesso configure per l'applicazione in modo che i membri del proprio team possano configurare o utilizzare l'applicazione ma non ne possano modificare l'architettura.
- Un membro del team del sistema di supporto vitale può concedere al gruppo globale QA qualsiasi diritto di livello di accesso necessario per la verifica dell'applicazione (ad esempio, l'accesso in lettura per la creazione di una copia dell'applicazione per verifica separata, la configurazione dell'accesso per poter utilizzare l'applicazione senza modificarne l'architettura, etc.).
|
Copyright © 2012 CA.
Tutti i diritti riservati.
|
|
