Utilisation de CA AppLogic® › Manuel d'administration de la grille › Contrôle d'accès basé sur les rôles › Exemple de scénario

Exemple de scénario

CA AppLogic® ne fournit pas de schéma étendu des groupes et utilisateurs prédéfinis. Les administrateurs de la grille peuvent ainsi configurer les utilisateurs, les groupes et l'accès aux objets en fonction de chaque situation. En général, les administrateurs de grille procèdent de la façon suivante :

• Création d'utilisateurs locaux
• Création d'un ensemble de groupes locaux. Ces groupes peuvent être utilisés pour séparer des utilisateurs par type de travail (par exemple, administration de grille, développement d'application, assurance qualité, etc.), par structure de l'entreprise (par exemple, par département ou unité commerciale pour que les différents groupes d'utilisateurs puissent travailler sur le développement d'une grille partagée) ou pour d'autres raisons pratiques. Vous pouvez obtenir le même résultat avec des groupes globaux qui sont particulièrement utiles lorsque la même configuration est utilisée pour deux ou plusieurs grilles.
• Ajout d'utilisateurs ou de groupes à des groupes, selon les besoins
• Modification de la liste de contrôle d'accès de l'objet pour affecter des droits de niveau d'accès spécifiques à des groupes.

Le scénario suivant fournit un exemple pratique sur la manière dont ce processus peut permettre de contrôler efficacement l'accès des utilisateurs.

Ace Starships Incorporated (ASI) construit des vaisseaux spatiaux. Chaque vaisseau spatial inclut notamment des systèmes logiciels pour le système de support de vie et la propulsion. Ces deux systèmes logiciels sont développés sur une grande grille CA AppLogic® partagée avant d'être déployé sur des grilles de production sur le vaisseau spatial réel. Le processus de développement sur cette grille inclut les groupes suivants :

• Equipe de développement du système de support de vie
• Equipe de développement du système de propulsion
• Equipe externe : spécialistes dans le développement d'appliance d'intergiciel (appliances communes)
• Auditeurs : personnel ASI qui requiert l'accès non destructeur au développement.
• Assurance qualité : personnel qui teste les produits des équipes de développement et des équipes externes.

Ajoutons également :

• Un utilisateur global john_adams qui est l'administrateur de grille (responsable de l'administration de grille).
• Un utilisateur global jane_osprey qui est un opérateur de grille (personne responsable de la grille lorsque l'administrateur de grille est absent).

En outre :

• ASI utilise un service d'annuaire avec protocole LDAP à l'échelle de l'entreprise pour la gestion centralisée des utilisateurs et groupes. Tout le monde sauf les équipes externes dispose d'un compte sur ce système.
• L'équipe chargée du système de propulsion utilise plusieurs applications créées par l'équipe chargée du système de support de vie, mais ne modifie pas l'architecture de ces applications.
• Les deux équipes utilisent des appliances développées par les équipes externes, mais ne modifient pas ces appliances.
• Certains catalogues globaux qui contiennent des appliances propres aux différents efforts de développement : système_support_vie, système_propulsion et équipe_externe.

Dans ce scénario, il faudra d'abord choisir entre une gestion de l'appartenance au groupe à l'aide du répertoire intégral de la compagnie ou une gestion de cette appartenance à l'aide de groupes locaux. Pour cet exemple, nous utiliserons la première approche :

• A l'aide du répertoire de la compagnie ASI, créez les groupes système_support_vie, système_propulsion, assurance_qualité et auditeurs, et incluez dans ces groupes les utilisateurs globaux correspondants. Cette opération est effectuée en dehors de CA AppLogic®.

Dans notre exemple, l'utilisateur CA AppLogic® initial, qui est membre du groupe local d'administration, procède à la configuration suivante de l'utilisateur et du groupe :

• Créez un compte d'utilisateur local pour chacune des personnes externes
• Créez les groupes locaux suivants :
  • équipe_externe
  • opérateurs_grille
  • développeurs_app
• Définissez l'appartenance au groupe :
  • Ajoutez les utilisateurs locaux créés au groupe local.
  • Ajoutez les groupes globaux système_support_vie, système_propulsion et assurance_qualité au groupe développeurs_app.
  • Ajoutez le groupe local externe au groupe développeurs_app.
  • Ajoutez l'utilisateur global john_adams au groupe d'administrateurs.
  • Ajoutez l'utilisateur global jane_osprey au groupe d'administrateurs.
• Modifiez la liste de contrôle d'accès de l'objet pour configurer l'accès aux objets :
  • Modifiez la liste de contrôle d'accès de la grille :
    • Fournissez des droits de niveau d'accès grid_operator au groupe local grid_operators.
    • Fournissez des droits de niveau d'accès app_developer au groupe local développeurs_app.
    • Fournissez des droits de niveau d'accès monitor aux auditeurs de groupe global.
  • Modifiez la liste de contrôle d'accès du catalogue global :
    • Fournissez des droits de niveau d'accès complet au catalogue pour le groupe global système_support_vie, au catalogue système_propulsion pour le groupe global système_propulsion et au catalogue équipe_externe pour le groupe local équipe_externe.
    • Fournissez des droits de niveau d'accès de configuration au catalogue équipe_externe pour le groupe local dévelopeurs_app et au catalogue système_support_vie pour le groupe global système_propulsion.

Les tableaux suivants indiquent l'appartenance au groupe dans notre scénario :

Le tableau suivant indique les droits de niveau d'accès accordés aux principaux pour les objets utilisés dans notre scénario :

La configuration initiale des utilisateurs et des groupes est terminée. Les utilisateurs globaux appartenant aux groupes globaux système_support_vie, système_propulsion, assurance_qualité et auditeurs peuvent se connecter à la grille et chaque utilisateur obtient automatiquement les droits de niveau d'accès nécessaires pour effectuer leur travail.

L'accès aux catalogues globaux a également été configuré pour que les appliances soient accessibles, mais seuls les membres du groupe disposant de droits de niveau d'accès complet sur un catalogue peuvent effectuer des opérations de destruction sur ce catalogue.

Lorsqu'un utilisateur crée une nouvelle application, il devient le propriétaire de l'application et des droits de niveau d'accès complet à cette application lui sont octroyés. L'utilisateur peut modifier la liste de contrôle d'accès de l'application pour permettre à d'autres membres de son équipe de développement ou d'une autre équipe d'accéder à l'application. Par exemple :

• Un membre de l'équipe système_support_vie peut accorder des droits de niveau d'accès complet au groupe local life_support sur l'application pour que d'autres membres de l'équipe puissent la modifier.
• Un membre de l'équipe système_support_vie peut accorder au groupe local système_propulsion des droits de niveau d'accès de configuration sur l'application pour que les membres de ce groupe puissent configurer ou utiliser l'application, sans leur permettre de modifier son architecture.
• Un membre de l'équipe système_support_vie peut accorder au groupe global assurance_qualité tout type de droits de niveau d'accès requis pour tester l'application (par exemple, un accès en lecture pour copier l'application et l'analyser séparément, le droit de configuration pour configurer ou utiliser l'application sans en modifier l'architecture, etc.).