Utilisation de CA AppLogic® › Manuel d'administration de la grille › Contrôle d'accès basé sur les rôles › Gestion de la création de liste de contrôle d'accès de nouvel objet

Gestion de la création de liste de contrôle d'accès de nouvel objet

CA AppLogic® 3.1 permet désormais de gérer la création de liste de contrôle d'accès de nouvel objet. Les entrées de propriétaire et de principal d'une liste de contrôle d'accès de nouvel objet peuvent être déterminées par utilisateur ou par groupe. Ceci permet une flexibilité considérable pour la gestion des accès aux nouveaux objets créés. La gestion de listes de contrôle d'accès de nouvel objet introduit les concepts suivants :

Définition de la liste de contrôle d'accès du nouvel objet : vous pouvez associer une définition de la liste de contrôle d'accès du nouvel objet à un utilisateur ou à un groupe. La définition de la liste de contrôle d'accès du nouvel objet se présente sous la même forme qu'une liste de contrôle d'accès d'objet. Elle comprend un propriétaire et une liste d'entrées où chaque entrée est composée d'un principal et d'un niveau d'accès correspondant. Chaque utilisateur ou groupe existant peut être associé à une définition de la liste de contrôle d'accès du nouvel objet. Si la définition de la liste de contrôle d'accès du nouvel objet est associée à un utilisateur, le propriétaire doit être cet utilisateur ou un groupe (ou vide). Si la définition de la liste de contrôle d'accès du nouvel objet est associée à un groupe, le propriétaire doit être un groupe (ou vide).

Groupe principal : un groupe principal est une propriété de profil d'utilisateur qui indique le groupe que vous pouvez utiliser pour déterminer la liste de contrôle d'accès du nouvel objet pour l'utilisateur correspondant. Vous pouvez définir le groupe principal d'un utilisateur lors de la création de cet utilisateur ou à l'aide de la commande user set . Si le groupe principal d'un utilisateur n'a pas été défini explicitement, il est défini par défaut sur le groupe local all.

Lorsqu'un utilisateur crée, migre ou importe une nouvelle application ou un catalogue global, la liste de contrôle d'accès du nouvel objet est créée comme suit :

1. Si une définition de liste de contrôle d'accès du nouvel objet est associée à l'utilisateur exécutant, utilisez cette définition pour déterminer la liste de contrôle d'accès du nouvel objet.
2. Dans le cas contraire, si une définition de la liste de contrôle d'accès du nouvel objet est associée au groupe de l'utilisateur exécutant, utilisez cette définition pour déterminer la liste de contrôle d'accès du nouvel objet.
3. Si aucune de ces situations ne correspond, configurez l'utilisateur exécutant en tant que propriétaire du nouvel objet et octroyez lui les droits de niveau d'accès complet.

Une définition de la liste de contrôle d'accès du nouvel objet est utilisée pour déterminer le contenu de la liste de contrôle d'accès du nouvel objet comme suit :

1. Détermination du propriétaire dans la liste de contrôle d'accès :
   • Si un utilisateur défini en tant que propriétaire dans la définition de la liste de contrôle d'accès du nouvel objet est l'utilisateur exécutant, définissez-le en tant que propriétaire dans la nouvelle liste de contrôle d'accès.
   • Dans le cas contraire, si la définition de la liste de contrôle d'accès du nouvel objet comprend un groupe défini en tant que propriétaire, et que l'utilisateur exécutant y est inclus, définissez ce groupe en tant que propriétaire dans la nouvelle liste de contrôle d'accès.
   • Si aucune de ces situations ne correspond, définissez l'utilisateur exécutant en tant que propriétaire dans la nouvelle liste de contrôle d'accès.
2. Détermination de la liste d'entrées dans la liste de contrôle d'accès :
   • Incluez chaque entrée de la définition de la liste de contrôle d'accès du nouvel objet dans la nouvelle liste de contrôle d'accès.
   • Octroyez un accès complet à l'utilisateur exécutant dans la nouvelle liste de contrôle d'accès si celui-ci n'en dispose pas (explicitement ou par appartenance à un groupe). Une entrée de la définition de liste de contrôle d'accès du nouvel objet est remplacée pour l'utilisateur exécutant le cas échéant.

Lorsqu'un utilisateur copie une application existante, la liste de contrôle d'accès de la copie est créée comme suit :

• Le propriétaire est déterminé comme illustré ci-dessus pour la création d'objet.
• Les entrées de principal de la liste de contrôle d'accès d'origine sont copiées telles quelles. Aucune de ces entrées n'est modifiée et aucune nouvelle entrée n'est ajoutée.

La gestion de la liste de contrôle d'accès du nouvel objet introduit un nombre de nouveaux services CLI et modifie plusieurs services existants comme suit :

user set et user create

Ces commandes introduisent une nouvelle option : group=<groupe>[,<groupe>]*. L'option de groupe peut être utilisée pour définir le groupe principal d'un utilisateur et pour ajouter l'utilisateur en tant que membre de groupes locaux, comme suit :

• L'utilisateur est ajouté en tant que membre à tous les groupes locaux de la liste.
• Le premier groupe sur la liste est défini en tant que groupe principal de l'utilisateur.
• Seul le premier groupe de la liste peut être un groupe global.

  user info
  

Cette commande est modifiée pour permettre d'afficher le groupe principal de l'utilisateur et si elle existe, la définition de la liste de contrôle d'accès du nouvel objet associée à l'utilisateur.

user get_newobj_acl

Affiche la liste de contrôle d'accès du nouvel objet associée à un utilisateur.

user put_newobj_acl

Remplace la liste de contrôle d'accès du nouvel objet associée à un utilisateur.

user modify_newobj_acl

Modifie la liste de contrôle d'accès du nouvel objet associée à un utilisateur.

group info et group get

Ces commandes sont modifiées pour afficher la définition de la liste de contrôle d'accès du nouvel objet associée à un groupe s'il existe.

group get_newobj_acl

Affiche la liste de contrôle d'accès du nouvel objet associée à un groupe.

group put_newobj_acl

Remplace la liste de contrôle d'accès du nouvel objet associée à un groupe.

group modify_newobj_acl

Modifie la liste de contrôle d'accès du nouvel objet associée à un groupe.

Les exemples suivants illustrent des cas d'utilisation typiques pour gérer la création de liste de contrôle d'accès du nouvel objet :

1. Pour gérer la création de liste de contrôle d'accès de nouvel objet de telle façon que l'accès aux objets rappelle le comportement des versions 2.9.x et antérieures de CA AppLogic®, créez une nouvelle définition de liste de contrôle d'accès du nouvel objet pour le groupe local implicite all, comme suit :
   • Le propriétaire est le groupe local implicite all.
   • La liste des entrées octroie au groupe local implicite all des droits de niveau d'accès complet.

   Par défaut, le groupe principal de chaque utilisateur est le groupe local implicite all. Dans cet exemple, chaque fois qu'un utilisateur crée un nouvel objet, tous les utilisateurs y ont accès et en sont propriétaires.

2. Pour gérer la création de liste de contrôle d'accès de nouvel objet d'un unique utilisateur, créez une définition de liste de contrôle d'accès de nouvel objet pour celui-ci.
3. Pour gérer la création de liste de contrôle d'accès de nouvel objet d'un groupe d'utilisateurs, définissez le groupe principal de chaque utilisateur sur un groupe particulier, puis créez une définition de liste de contrôle d'accès de nouvel objet pour ce groupe.
4. Pour gérer la création de liste de contrôle d'accès de nouvel objet de tous les utilisateurs, créez une définition de liste de contrôle d'accès de nouvel objet pour le groupe local implicite all. Ceci affecte chaque utilisateur dont le groupe principal est le groupe local implicite all et pour lequel aucune définition de liste de contrôle d'accès de nouvel objet n'est associée.