Utilizzo di CA AppLogic › Guida per l'amministratore › Controllo di accesso basato sui ruoli › Gestione della creazione dell'ACL di un nuovo oggetto

Gestione della creazione dell'ACL di un nuovo oggetto

CA AppLogic 3.1.x introduce la possibilità di gestire la creazione dell'ACL di un nuovo oggetto. Il titolare e le voci principali dell'ACL di un nuovo oggetto creato possono essere determinate per utente o per gruppo. Si consente così una notevole flessibilità nella gestione dell'accesso a nuovi oggetti creati. La gestione dell'ACL di un nuovo oggetto comporta i concetti seguenti:

Definizione dell'ACL di un nuovo oggetto : è possibile associare una definizione dell'ACL di un nuovo oggetto a un utente o un gruppo specifico. La definizione dell'ACL di un nuovo oggetto è identica al formato dell'ACL di un oggetto. Comprende il titolare e un elenco di voci in cui ciascuna voce è composta da un livello principale e un livello di accesso corrispondente. Ciascun utente e ciascun gruppo possono disporre di una definizione dell'ACL di un nuovo oggetto associata. Se la definizione dell'ACL di un nuovo oggetto è associata a un utente, allora il titolare deve essere o quell'utente o un gruppo (o vuoto). Se la definizione dell'ACL di un nuovo oggetto è associata a un gruppo, il titolare deve corrispondere a un gruppo (o vuoto).

Gruppo primario : un gruppo primario è una proprietà del profilo utente e indica che è possibile utilizzare quel gruppo per determinare l'ACL del nuovo oggetto per l'utente corrispondente. È possibile impostare il gruppo primario di un utente durante la creazione dell'utente o con il comando  user set . Se il gruppo primario di un utente non è stato impostato esplicitamente, allora viene impostato in modo predefinito sul gruppo locale implicito all.

Quando un utente crea, esegue la migrazione o importa un'applicazione nuova o un catalogo globale, l'ACL del nuovo oggetto viene creato come segue:

1. Se l'utente dell'esecuzione dispone di una definizione dell'ACL del nuovo oggetto associata, utilizzare questa definizione per determinare l'ACL del nuovo oggetto.
2. In caso contrario, se il gruppo primario dell'utente dell'esecuzione dispone di una definizione dell'ACL del nuovo oggetto associata, utilizzare questa definizione per determinare l'ACL del nuovo oggetto.
3. In caso contrario, rendere l'utente dell'esecuzione il titolare del nuovo oggetto e concedere a questo utente diritti di livello di accesso full.

La definizione dell'ACL del nuovo oggetto viene utilizzata per determinare i contenuti dell'ACL di un nuovo oggetto come segue:

1. Determinare il titolare nell'ACL:
   • Se la definizione dell'ACL del nuovo oggetto dispone di un utente definito come titolare e tale utente è responsabile dell'esecuzione, impostare l'utente responsabile dell'esecuzione come titolare nel nuovo ACL.
   • In caso contrario, se la definizione dell'ACL del nuovo oggetto dispone di un gruppo definito come titolare e tale gruppo include l'utente che si occupa dell'esecuzione in quanto membro, impostare questo gruppo come titolare nel nuovo ACL.
   • In caso contrario, impostare l'utente responsabile dell'esecuzione come titolare nel nuovo ACL.
2. Determinare l'elenco di voci nell'ACL:
   • Includere ciascuna voce dalla definizione dell'ACL del nuovo oggetto nel nuovo ACL.
   • Consentire all'utente dell'esecuzione l'accesso completo al nuovo ACL se non gli viene consentito l'accesso completo (esplicitamente o tramite l'appartenenza al gruppo). Viene così sostituita una voce nella definizione dell'ACL del nuovo oggetto per l'utente dell'esecuzione, se esistente.

Quando un utente copia un'applicazione esistente, l'ACL della copia viene creato come segue:

• Il titolare viene determinato come descritto sopra per la creazione di un oggetto. USDK>
• Le voci principali dell'ACL originale vengono copiate senza modifiche. Nessuna di queste voci è modificata e non viene aggiunta alcuna nuova voce.

La gestione dell'ACL del nuovo oggetto offre una serie di nuove utilità CLI e modifica diverse utilità esistenti come segue:

user set e user create

Questi comandi introducono una nuova opzione: group=<group>[,<group>]* la quale può essere utilizzata per impostare il gruppo primario di un utente e per aggiungere l'utente come membro ai gruppi locali come segue:

• L'utente viene aggiunto come membro a ciascun gruppo locale dell'elenco.
• Il gruppo primario dell'utente viene impostato sul primo gruppo dell'elenco.
• Solamente il primo gruppo dell'elenco può essere un gruppo globale.

  user info
  

Questo comando viene modificato per visualizzare il gruppo primario dell'utente e, se esistente, la definizione dell'ACL del nuovo oggetto associata all'utente.

user get_newobj_acl

Visualizza l'ACL del nuovo oggetto associato a un utente.

user put_newobj_acl

Sostituisce l'ACL del nuovo oggetto associato a un utente.

user modify_newobj_acl

Modifica l'ACL del nuovo oggetto associato a un utente.

group info e group get

Questi comandi vengono modificati per visualizzare la definizione dell'ACL del nuovo oggetto associata a un gruppo, se esistente.

group get_newobj_acl

Visualizza l'ACL del nuovo oggetto associato a un gruppo.

group put_newobj_acl

Sostituisce l'ACL del nuovo oggetto associato a un gruppo.

group modify_newobj_acl

Modifica l'ACL del nuovo oggetto associato a un gruppo.

Gli esempi seguenti illustrano scenari di utilizzo tipici per gestire la creazione dell'ACL di un nuovo oggetto:

1. Per gestire la creazione dell'ACL di un nuovo oggetto in modo che l'accesso di tale oggetto imiti il comportamento delle versioni 2.9.x e precedenti di CA AppLogic, creare una definizione dell'ACL del nuovo oggetto per il gruppo locale implicito all come segue:
   • Il titolare è il gruppo locale implicito all.
   • L'elenco di voci concede al gruppo locale implicito all diritti di livello di accesso full.

   Per impostazione predefinita, il gruppo primario di ciascun utente è il gruppo locale implicito all. In questo esempio, ogni volta che un utente crea un nuovo oggetto, esso appartiene ed è completamente accessibile a tutti gli utenti.

2. Per gestire la creazione dell'ACL di un nuovo oggetto per un utente singolo, creare una definizione dell'ACL di un nuovo oggetto per quell'utente particolare.
3. Per gestire la creazione dell'ACL di un nuovo oggetto per un gruppo di utenti, impostare il gruppo primario di ciascun utente su un gruppo particolare e creare una definizione dell'ACL di un nuovo oggetto per quel gruppo.
4. Per gestire la creazione dell'ACL di un nuovo oggetto per tutti gli utenti, creare una definizione dell'ACL di un nuovo oggetto per il gruppo locale implicito all. Questa operazione riguarda ciascun utente il cui gruppo primario è il gruppo locale implicito all e che non ha una definizione dell'ACL di un nuovo oggetto associata a se stesso.